![[z/OS]](../images/ngzos.gif)
SAF プロファイル・プレフィックスとカスタマイズ・ジョブ
z/OS® プロファイル管理ツールを使用して、System Authorization Facility (SAF) プロファイル・プレフィックス (旧称 z/OS セキュリティー・ドメイン) を構成できます。
- ロールの WebSphere セキュリティー・ドメイン・レベルの細分性を提供します。
- テストおよび実動に、別の管理者を割り当てられるようにします。
- WebSphere セキュリティー・ドメイン内のサーバーの APPL プロファイルとして使用します。
SAF プロファイル・プレフィックスの構成は、z/OS プロファイル管理ツールを使用して設定をカスタマイズすることによってか、または管理コンソール内の SAF 許可オプション・パネルで行うことができます。 これにより、ドメインの作成時に一度だけ実行する必要がある Resource Access Control Facility (RACF®) カスタマイズ・ジョブの新規サンプル・セットが提供されます。
- CBIND
- EJBROLE
- APPL
/* CBIND profiles in case no server definition is set */
"RDEFINE CBIND CB.BIND.* UACC(NONE)"
"RDEFINE CBIND CB.* UACC(NONE)"
/* CBIND CB.BIND.domain_name. */
"RDEFINE CBIND CB.BIND.TESTSYS.* UACC(NONE)"
"RDEFINE CBIND CB.TESTSYS.* UACC(NONE)"
APPL プロファイルを使用して、WebSphere Application Server for z/OS を保護します。 ユーザーが汎用アクセス権限 UACC を使用する場合、サンプル・プロファイルは、全員にある特定のレベルの APPL アクセス権限を付与し、構成グループ、非認証ユーザー ID、および有効なすべての WebSphere Application Server for z/OS ユーザー ID にアクセス権限を付与します。UACC(NONE) は、全員にデフォルト・アクセス権限 NONE を付与します。 APPL クラス・プロファイルを許可に使用するかどうかを制御するには、管理コンソールの SAF 許可オプション・パネルで、「APPL プロファイルを使用してサーバーへのアクセスを制限する (Use APPL profile to restrict access to the server)」というラベルの付いたチェック・ボックスをオンに設定します。
RDEFINE APPL CBS390 UACC(NONE)
PERMIT CBS390 CLASS(APPL) ID(TSCLGP) ACCESS(READ)
RDEFINE APPL TESTSYS UACC(NONE)
PERMIT TESTSYS CLASS(APPL) ID(TSCLGP) ACCESS(READ)
SAF プロファイル・プレフィックスがなく、構成グループが TSTCFG として定義されている場合、 以下の EJBROLE プロファイルはロール・ベースの許可検査用に定義されます。これらは、System Authorization Facility (SAF) 許可が選択される場合に、 ネーミングおよび管理ロールへのアクセスを必要とするユーザーの最小セットです。
RDEFINE EJBROLE administrator UACC(NONE)
RDEFINE EJBROLE monitor UACC(NONE)
RDEFINE EJBROLE configurator UACC(NONE)
RDEFINE EJBROLE operator UACC(NONE)
RDEFINE EJBROLE deployer UACC(NONE)
RDEFINE EJBROLE adminsecuritymanager UACC(NONE)
RDEFINE EJBROLE auditor UACC(NONE)
PERMIT administrator CLASS(EJBROLE) ID(TSTCFG) ACCESS(READ)
PERMIT auditor CLASS(EJBROLE) ID(TSTCFG) ACCESS(READ)
PERMIT adminsecuritymanager CLASS(EJBROLE) ID(TSTCFG) ACCESS(READ)
/* Setting up EJBRoles Profiles for Naming roles */
RDEFINE EJBROLE CosNamingRead UACC(NONE)
PERMIT CosNamingRead CLASS(EJBROLE) ID(TSGUEST) ACCESS(READ)
RDEFINE EJBROLE CosNamingWrite UACC(NONE)
PERMIT CosNamingWrite CLASS(EJBROLE) ID(TSGUEST) ACCESS(READ)
RDEFINE EJBROLE CosNamingCreate UACC(NONE)
PERMIT CosNamingCreate CLASS(EJBROLE) ID(TSGUEST) ACCESS(READ)
RDEFINE EJBROLE CosNamingDelete UACC(NONE)
PERMIT CosNamingDelete CLASS(EJBROLE) ID(TSGUEST) ACCESS(READ)
RDEFINE EJBROLE TESTSYS.administrator UACC(NONE)
RDEFINE EJBROLE TESTSYS.monitor UACC(NONE)
RDEFINE EJBROLE TESTSYS.configurator UACC(NONE)
RDEFINE EJBROLE TESTSYS.operator UACC(NONE)
RDEFINE EJBROLE TESTSYS.deployer UACC(NONE)
RDEFINE EJBROLE TESTSYS.adminsecuritymanager UACC(NONE)
RDEFINE EJBROLE TESTSYS.auditor UACC(NONE)
PERMIT TESTSYS.administrator CLASS(EJBROLE) ID(TSTCFG) ACCESS(READ)
PERMIT TESTSYS.auditor CLASS(EJBROLE) ID(TSTCFG) ACCESS(READ)
PERMIT TESTSYS.adminsecuritymanager CLASS(EJBROLE) ID(TSTCFG) ACCESS(READ)
/* Setting up EJBRoles Profiles for Naming roles */
RDEFINE EJBROLE TESTSYS.CosNamingRead UACC(NONE)
PERMIT TESTSYS.CosNamingRead CLASS(EJBROLE) ID(TSGUEST) ACCESS(READ)
RDEFINE EJBROLE TESTSYS.CosNamingWrite UACC(NONE)
PERMIT TESTSYS.CosNamingWrite CLASS(EJBROLE) ID(TSGUEST) ACCESS(READ)
RDEFINE EJBROLE TESTSYS.CosNamingCreate UACC(NONE)
PERMIT TESTSYS.CosNamingCreate CLASS(EJBROLE) ID(TSGUEST) ACCESS(READ)
RDEFINE EJBROLE TESTSYS.CosNamingDelete UACC(NONE)
PERMIT TESTSYS.CosNamingDelete CLASS(EJBROLE) ID(TSGUEST) ACCESS(READ)
サーバーの CBIND プロファイル定義
RDEFINE CBIND CB.BIND.BBO* UACC(NONE)
RDEFINE CBIND CB.BIND.TSTC001 UACC(NONE)
PERMIT CB.BIND.BBO* CLASS(CBIND) ID(TSTCFG) ACCESS(CONTROL)
PERMIT CB.BIND.TSTC001 CLASS(CBIND) ID(TSTCFG) ACCESS(CONTROL)
RDEFINE CBIND CB.BBO* UACC(NONE)
RDEFINE CBIND CB.TSTC001 UACC(NONE)
RDEFINE CBIND CB.BIND.TESTSYS.BBO* UACC(NONE)
RDEFINE CBIND CB.BIND.TESTSYS.TSTC001 UACC(NONE)
PERMIT CB.BIND.TESTSYS.BBO* CLASS(CBIND) ID(TSTCFG) ACCESS(CONTROL)
PERMIT CB.BIND.TESTSYS.TSTC001 CLASS(CBIND) ID(TSTCFG) ACCESS(CONTROL)
RDEFINE CBIND CB.TESTSYS.BBO* UACC(NONE)
RDEFINE CBIND CB.TESTSYS.TSTC001 UACC(NONE)
- BBO* 以外の接頭部で始まるジョブ名を持つ新規の特定のサーバーを作成する場合は、
以下の RACF コマンドを入力して、特定の CBIND プロファイルを定義します。
RDEFINE CBIND CB.BIND.TSTC002 UACC(NONE) PERMIT CB.BIND.TSTC002 CLASS(CBIND) ID(TSTCFG) ACCESS(CONTROL) RDEFINE CBIND CB.TSTC002 UACC(NONE)
- サンプルは、特定のサーバー名でサーバー定義を作成します (ただし、
サーバー接頭部 BBO が付いた総称プロファイル)。代替のサーバー接頭部を作成済みで、
追加の CBIND 定義を回避する場合、以下の RACF コマンドを入力して、新規名を反映する汎用 CBIND プロファイルを追加します。
以下のコマンドで、TST は、サーバーのジョブ名の接頭部です。
RDEFINE CBIND CB.BIND.TESTSYS.TST* UACC(NONE) PERMIT CB.BIND.TESTSYS.TST* CLASS(CBIND) ID(TSTCFG) ACCESS(CONTROL) RDEFINE CBIND CB.TESTSYS.TST* UACC(NONE)
- SAF プロファイル・プレフィックスは RACF クラス (CBIND、EJBROLE、APPL) を分離しますが、階層ファイル・システム (HFS) 内の構成ファイルに対するファイル許可を分離することはありません。例えば、
- 管理者がグループ WSCFG の WSADMIN である場合
- サーバント領域 ID が WASSRV である場合 (また、WSCFG グループに属している必要があります)
- ユーザー TOM が TEST.administrator EJBROLE への READ アクセス権を持つが、 PROD.administrator EJBROLE への READ アクセス権を持たない場合
- TEST アプリケーション・サーバーで稼働中の非認識アプリケーションは、 PROD セル内の HFS ファイルを変更することができます。これは、TEST サーバーが WSCFG グループに所属する WASSRV ユーザー ID を使用して稼働するためです。TEST ファイルと PROD HFS ファイルはどちらも、 WSCFG グループによって変更することができます。保護を最大にするには、PROD を作成して、TEST とは異なる RACF グループに関連付ける必要があります。また、アプリケーション・サーバーと z/OS スレッド ID の同期化を使用可能にすることも考慮してください。この処理を行うと、HFS への書き込みなどの z/OS システム・サービスが、サーバント領域 ID ではなく Java™ Platform、Enterprise Edition (Java EE) ID を使用して実行できるようになります。詳しくは、z/OS セキュリティー・オプションに関する情報を参照してください。