[z/OS]

アウトバウンド・サポート用に最適化されたローカル・アダプターの保護

アウトバウンド呼び出しを実行する、最適化されたローカル・アダプターのセキュリティーをセットアップする場合に、このタスクを使用します。

始める前に

実行する WebSphere® Application Server for z/OS® サーバーで、最適化されたローカル・アダプター API を使用する場合は、そのサーバーでグローバル・セキュリティーをセットアップし、Sync-to-OS Thread オプションをアクティブにします。グローバル・セキュリティーについて詳しくは、『セキュリティーの使用可能化』を参照してください。Sync-to-OS Thread オプションについて詳しくは、『z/OS セキュリティー・オプション』を参照してください。

または、システム管理者が、最適化されたローカル・アダプターの接続ファクトリーでのユーザー名とパスワードを提供することも、アプリケーション開発者が、最適化されたローカル・アダプターの接続ファクトリーから接続を取得するために使用される ConnectionSpec オブジェクトでのユーザー名とパスワードを提供することもできます。このユーザー名とパスワードの組み合わせを使用してログインが実行され、最適化されたローカル・アダプター要求をこの接続から行うときに、そのユーザー名に関連付けられた MVS™ ユーザー ID が使用されます。このユーザー名に関連付けられた MVS ユーザー ID がない場合には、最適化されたローカル・アダプター要求をこの接続から行うときに、MVS ユーザー ID は使用されません。

WebSphere Application Server for z/OS サーバーへのローカル・アクセスは、System Authorization Facility (SAF) CBIND クラスによって保護されます。このクラスは、プロファイルの作成時に定義され、Internet Inter-ORB Protocol (IIOP) ローカル・クライアントの接続要求および最適化されたローカル・アダプターの要求が実行されたときに WebSphere Application Server for z/OS サーバーを保護するために使用されます。登録 API を使用するアプリケーションを実行する前に、ジョブ、UNIX System Services (USS) プロセス、または顧客情報管理システム (CICS®) 領域のユーザー ID に、ターゲット・サーバーの CBIND クラスに対する読み取りアクセスを許可する必要があります。これは BBOCBRAK ジョブでセットアップします。CBIND クラスについて詳しくは、『CBIND を使用したクラスターへのアクセスの制御』を参照してください。

WebSphere Application Server が、最適化されたローカル・アダプターの Host Service API または Receive Request API を使用してアプリケーションへの呼び出しを行う場合、その API を呼び出したスレッドの ID が使用されます。CICS 以外の環境では、最適化されたローカル・アダプターが WebSphere Application Server アプリケーションの ID の表明を試みることはありません。これには、情報管理システム (IMS™) 依存領域が含まれます。これらの場合には、トランザクションは、そのトランザクションを開始したユーザーの ID の下で開始されます。これには、IMS 依存領域が含まれます。これらの領域の場合には、トランザクションは、そのトランザクションを開始したユーザー ID の下で開始されます。

トランザクション処理が CICS と WebSphere Application Server for z/OS との間で、インバウンドまたはアウトバウンドで受け渡される場合、セキュリティーに関するいくつかの特別な考慮事項について検討する必要があります。例えば、WebSphere Application Server に送信されたインバウンド処理の認証が、特定の CICS アプリケーションの権限で実行されるか、CICS 領域全体の権限で実行されるかを確認する必要があります。WebSphere Application Server がアウトバウンド処理を CICS アプリケーションに送信する場合も、同様のことについて検討します。CICS が送信元のアプリケーションの権限と現在の CICS セキュリティー・プロファイルの権限のどちらを優先するかを確認する必要があります。
重要: CICS が要求を処理するには、クライアント・アプリケーションが認証されたことを確認してください。

CICS で要求を受信し、最適化されたローカル・アダプターの CICS リンク・サーバー (BBO$ タスク) でその要求を処理するには、そのリンク・サーバーで、ターゲット・プログラムを開始する CICS スレッドに伝搬される WebSphere Application Server のスレッド・レベルの ID を表明することをリンク・サーバーの始動時に指定します。これは、最適化されたローカル・アダプターの BBOC CICS トランザクションで、パラメーターを使用して行います。

このタスクについて

アウトバウンド呼び出し用に最適化されたローカル・アダプターを保護するには、次の作業を行う必要があります。

手順

セキュリティー設定を構成します。 CICS で実行されるアプリケーションで、最適化されたローカル・アダプターの Host Service API または Receive Request API を使用する場合は、これらの API を呼び出した CICS アプリケーションの権限が使用されます。最適化されたローカル・アダプターの CICS リンク・サーバーを使用する場合は、次の手順を実行して、そのリンク・サーバーのタスクである BBO$ で、ターゲット・プログラムを呼び出す前に WebSphere Application Server の ID を表明することを指定できます。
  1. (BBOC START_SRVR を指定して) リンク・サーバーを始動させるために使用する、最適化されたローカル・アダプターの BBOC CICS トランザクションで、SEC=Y パラメーターを渡します。 これを指定すると、最適化されたローカル・アダプターのリンク・サーバーのタスクである BBO$ は、WebSphere Application Server スレッドの呼び出しによって伝搬された ID を使用して、リンク・タスクである BBO# を開始します。
  2. 実行中の CICS 領域で、セキュリティーが有効になっていること、および EXEC CICS START の確認が有効になっていることを確認します。 パラメーター SEC=YES を指定すると、始動時にセキュリティーが有効になります。また、パラメーター XUSER=YES を指定すると、始動時に EXEC CICS START の確認が有効になります。
  3. 最適化されたローカル・アダプターのリンク・サーバーの実行時に使用される ID に、EXEC CICS START TRANSACTION API を実行する権限を付与する SAF 代理クラスを作成し、WebSphere Application Server から CICS に伝搬された USERID を渡します。 次のサンプルは、ユーザー ID USER1 用に定義された代理クラスを示しています。このクラスは、ユーザー ID OLASERVE が EXEC CICS START TRANS(BBO#) USERID(USER1) を実行すること、および USER1 の ID を使用して実行される、最適化されたローカル・アダプターの CICS リンク・トランザクションを処理することを可能にします。
    RDEFINE SURROGAT USER1.DFHSTART UACC(NONE) OWNER(USER1)  
    PERMIT USER1.DFHSTART CLASS(SURROGAT) ID(USER1)          
    PERMIT USER1.DFHSTART CLASS(SURROGAT) ID(OLASERVE)       
    SETROPTS RACLIST(SURROGAT) REFRESH 

タスクの結果

これで、最適化されたローカル・アダプターの接続のセキュリティーをセットアップできました。

次のタスク

IMS でのセキュリティーの使用について詳しくは、『最適化されたローカル・アダプターを IMS で使用するときのセキュリティーの考慮事項』トピックを参照してください。

トピックのタイプを示すアイコン タスク・トピック



タイム・スタンプ・アイコン 最終更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tdat_security_out
ファイル名:tdat_security_out.html