![[z/OS]](../images/ngzos.gif)
監査サポート
このトピックでは、監査サポートの使用方法について概説します。
監査は、RACF® またはそれに相当する外部セキュリティー・マネージャーが発行する SMF レコードを使用して実行されます。 つまり、SMF 監査レコードは、 WebSphere Application Server による SAF インターフェースおよび RACROUTE マクロ の使用の一環として作成されます。
WebSphere Application Server for z/OS は、
以下の RACROUTE マクロを使用します。
- RACROUTE REQUEST AUTH (および FASTAUTH) - クラスに対する権限がユーザーにあるかどうかをチェックします
- RACROUTE REQUEST=EXTRACT - RACO を ACEE から抽出します
- RACROUTE REQUEST TOKENXTR - UTOKEN を抽出します (CICS の場合)
- RACROUTE REQUEST LIST - FASTAUTH ルーチンが許可検査の ために一般リソース・プロファイルのストレージ内コピーを使用 できるかどうかをチェックします
- RACROUTE REQUEST STAT - 特定のクラスがアクティブかどうかを判別します
さらに、以下の SAF API が使用されます。
- initACEE (IRRSIA00) - ACEE を管理します
- R_usermap (IRRSIM00) - Kerberos プリンシパル名を RACF ユーザー ID にマップします
WebSphere Application Server が使用する RACROUTE および SAF API 呼び出し の SMF 監査能力について詳しくは、ご使用の z/OS のバージョンに合った z/OS インフォメーション・センターで、 「RACROUTE マクロ解説書」および「Security Server RACF 呼び出し可能サービス」の資料をそれぞれ参照してください。
認証メカニズム | サービス名 | 認証済み ID |
---|---|---|
カスタム・ レジストリー | WebSphere® カスタム・レジストリー | カスタム・レジストリーのプリンシパル名 |
Kerberos | WebSphere Application Server 用 Kerberos | Kerberos プリンシパル。IRRSIM00 (/.../realm/principal) を使用して、対応する MVS™ ユーザー ID を抽出する際に使用される「DCE」フォーマットのもの。 |
RunAs ロール名 | WebSphere ロール名 | ロール名 |
RunAs サーバー | WebSphere サーバー・クレデンシャル | MVS ユーザー ID |
トラスト・インターセプター | WebSphere 許可ログイン | MVS ユーザー ID |
RunAs ユーザー ID/パスワード | WebSphere ユーザー ID/パスワード | MVS ユーザー ID |