![[z/OS]](../images/ngzos.gif)
z/OS プロファイル管理ツールのセキュリティー設定
z/OS® プロファイル管理ツールを使用すると、WebSphere® Application Server for z/OS 構成の System Authorization Facility (SAF) プロファイル接頭部 (以前は z/OS セキュリティー・ドメインと呼ばれていました) を指定することができます。
注:
- Application Server を使用して、デプロイメント・マネージャー・プロセス (dmgr) によって管理される WebSphere Application Server Network Deployment ノードをセットアップする前に、WebSphere z/OS プロファイル管理ツールまたは zpmt コマンドを使用して基本 Application Server をセットアップする必要があります。 基本 Application Server から、保存されている環境変数を、Base ノードをフェデレートする デプロイメント・マネージャー・ノードにロードすることが重要です。これは、デプロイメント・マネージャー・ノード上でセキュリティー・カスタマイズを実行する前に 行います。
- APPL クラスがアクティブで、WebSphere Application Server のプロファイルが定義済みである場合、WebSphere Application Server サービスを使用するすべての z/OS 識別に、WebSphere Application Server APPL プロファイルに対する READ 権限が付与されていることを確認してください。 これには、すべての WebSphere Application Server ID、WebSphere Application Server 非認証 ID、WebSphere Application Server 管理 ID、ロールからユーザーへのマッピングに基づいたユーザー ID、およびシステム・ユーザーに対するすべてのユーザー ID が含まれます。 SAF プロファイル接頭部が定義されていない場合、 使用される APPL プロファイルは CBS390 とされるか、SAF プロファイル接頭部として使用される名前となります。SAF プロファイル接頭部が定義されている場合は、 APPL プロファイルが使用されます。ローカル・オペレーティング・システム・セキュリティーを使用して管理コンソールに管理者を追加する場合、 APPL クラスがアクティブになっていれば、その管理者のユーザー ID は、RACF® 用の CBS390 (または SAF プロファイル接頭部として指定された名前) APPL クラスに対しても 許可されなければなりません。管理者のユーザー ID が CBS390 APPL に対して許可されていない場合は、 メッセージ BBOS0108E が発行され、ユーザーが許可されていないためにクレデンシャル処理関数 (RunAsGetSpecCred) が ルーチンで失敗したことが示されます。
- プロファイルが作成されると、SAF 許可オプションのパネルに移動して、「APPL プロファイルを使用してサーバーへのアクセスを制限する (Use APPL profile to restrict access to the server)」 というラベルの付いたチェック・ボックスを構成することによって、管理コンソールから APPL クラス・プロファイルの検査を制御することが可能になります。