[z/OS]

WebSphere Application Server をカスタマイズする際の Resource Access Control Facility のヒント

RACF® (あるいはご使用のセキュリティー製品) で CBIND、SERVER、および STARTED クラスによるサーバー・リソースの保護に使用されるセキュリティー・メカニズムについて知っておくことは重要です。 この文書では、これらのメカニズムとあわせて、セキュリティー環境を管理する技法についても説明します。

WebSphere® サーバーおよびリソースの保護に使用される RACF プロファイルの詳細は、以下のクラスを使用します。
  • CBIND: サーバーへのアクセスと、そのサーバー内のオブジェクトへのアクセス
  • SERVER: サーバント領域によるコントローラー領域へのアクセス
  • STARTED: ユーザー ID およびグループの、始動済みプロシージャー (STC) への関連付け

セル内の他のサーバーで必要な RACF プロファイルおよび許可を追加する必要があります。

ユーザー、グループおよびプロファイルのテスト環境用最小セットを定義できます (テスト環境では、個々のサーバーのセキュリティーは主な焦点や関心事ではありません)。

RACF プロファイル (CBINDSERVER、および STARTED): WebSphere で使用される RACF プロファイルの基礎的な情報は、System Authorization Facility のクラスおよびプロファイルに記載されています。 このセクションでは、CBINDSERVER、および STARTED クラスのプロファイルに関する追加情報について述べます。

ユーザー ID およびグループ ID: WebSphere z/OS® プロファイル管理ツールまたは zpmt コマンドの使用の一部として、 BBOCBRAK ジョブは RACF コマンドを生成します。このコマンドは BBOWBRAK ジョブで実行できます。キー:
CR = コントローラー領域
SR = サーバント領域
CFG = 構成 (グループ)
server = サーバーのショート・ネーム
cluster = 汎用サーバーの (ショート) ネーム (クラスター遷移名ともいう)
まず、次のように、6 人のユーザーと 6 つのグループを定義します。 ここでは、そのユーザーとグループが後にさまざまな許可でどのように使用されるかをわかりやすくするために、 ユーザーとグループを記号で表します。
<CR_userid> <CR_groupid>, <CFG_groupid>
<SR_userid> <SR_groupid>, <CFG_groupid>
<demn_userid> <demn_groupid>, <CFG_groupid>
<admin_userid> <CFG_groupid>
<client_userid> <client_groupid>
<ctracewtr_userid> <ctracewtr_groupid>

WebSphere のサーバーおよびリソース、許可レベルやアクセス・レベルを保護するために使用される各種のプロファイルは、次のとおりです。

CBIND クラス・プロファイル: CBIND クラス・プロファイルはアプリケーション・サーバーとそのサーバー内のオブジェクトへのアクセスを保護するためのもので、次の 2 種類のフォーマットとレベルがあります。
CBIND クラス・プロファイル - 汎用サーバーへのアクセス
CB.BIND.<cluster> UACC(READ); PERMIT <CR_group> ACC(CONTROL)

CBIND クラス・プロファイル - サーバー内のオブジェクトへのアクセス
CB.<cluster> UACC(READ) PERMIT <CR_group> ACC(CONTROL)

SERVER クラス・プロファイル: SERVER クラス・プロファイルはサーバー・コントローラー領域へのアクセスを保護するためのもので、現時点では 2 種類のフォーマットがあります。 Dynamic Application Environment (DAE) のサポートが使用可能になっているかどうかによって、 単一フォーマットの SERVER プロファイルを定義する必要があります。 これは、WLM DAE APAR OW54622 (z/OS V1R2 以上に適用できます) を使用して行われます。

WebSphere z/OS プロファイル管理ツールまたは zpmt コマンドでは、両方のフォーマットが事前定義されており、そのうちの 1 つが実行時に実際に必要になります。必要なフォーマットは、WebSphere Application Server for z/OS Runtime が、 Dynamic Application Environment (DAE) サポートが使用可能かどうかに基づいて動的に決定します。
  • 次のコマンドで、静的アプリケーション環境を使用してコントローラーにアクセスできます (APAR はサポートされません): RDEFINE CB.&<server>.&<cluster> UACC(NONE); PERMIT &<SR_userid> ACC(READ) この例で、server = サーバー名cluster = クラスター名またはクラスター遷移名 (クラスターがまだ作成されていない場合)、SR = サーバー領域の MVS ユーザー ID です。
  • 次のコマンドで、動的アプリケーション環境を使用してコントローラーにアクセスできます (WLM DAE APAR はサポートされます): CB.&<server>.&<cluster>.<cell> UACC(NONE); PERMIT &<SR_userid> ACC(READ) この例で、server = サーバー名cluster = クラスター名またはクラスター遷移名 (クラスターがまだ作成されていない場合)、cell = セルのショート・ネームSR = サーバー領域の MVS ユーザー ID です。
STARTED クラス・プロファイル: ユーザー ID とグループ ID をコントローラー領域やその他の STC に割り当てるために使用される STARTED クラス・プロファイルには 2 つのフォーマットがあります。開始タスクが MGCRE インターフェースで開始されたか、アドレス・スペース作成 (ASCRE) インターフェース (ワークロード・マネージャー (WLM) がサーバント領域の開始に使用したもの) で開始されたかによって、そのフォーマットが決まります。
STARTED クラス・プロファイル - (MGCRE)
<<CR_proc>.<CR_jobname> STDATA(USER(CR_userid) GROUP(CFG_groupid))
<demn_proc>.* STDATA(USER(demn_userid) GROUP(CFG_groupid))

STARTED クラス・プロファイル - (ASCRE)
<SR_jobname>.<SR_jobname> STDATA(USER(SR_userid) GROUP(CFG_groupid))

IJP 用の STARTED クラス・プロファイル - (MGCRE)
<MQ_ssname>.* STDATA(USER(IJP_userid) GROUP(CFG_groupid))

新規サーバーに対する新規ユーザー ID およびプロファイルの生成: 新規のアプリケーション・サーバーごとに固有のユーザー ID を使用する場合は、これらのユーザー、グループ、およびプロファイルを RACF データベースで定義する必要があります。

その方法の 1 つとして、WebSphere z/OS プロファイル管理ツールまたは zpmt コマンド、.DATA 区分データ・セットを使用して BBOWBRAK メンバーのコピーを編集して、以下のエントリーを新規のユーザー、グループ、固有の New_server 名、および New_cluster 名のプロファイルに変更する、というものがあります。
  • 新規サーバーに固有のユーザー ID を割り当てる必要がある場合は、新規ユーザーを 3 つ定義して、 それらを次のグループに関連付けます。
    <New_CR_userid> <CR_groupid>, <CFG_groupid><New_SR_userid> <SR_groupid>, <CFG_groupid><New_client_userid> <client_groupid>
  • 新規クラスターの CBIND クラス・プロファイル (汎用サーバーのショート・ネーム):
    CB.BIND.<New_cluster>CB.<New_cluster>
  • 新規サーバーおよびクラスターのための SERVER クラス・プロファイル:
    CB.<New_server>.<New_cluster>CB.<New_server>.<New_cluster>.<cell>
  • 新規サーバーのコントローラー領域およびサーバント領域のための STARTED クラス・プロファイル:
    <CR_proc>.<New_CR_jobname> STDATA(USER(New_CR_userid)
                                            GROUP(CFG_groupid))
    <New_SR_jobname>.* STDATA(USER(New_SR_userid) GROUP(CFG_groupid))
最小限のプロファイル: RACF データ・セットでユーザー、グループ、およびプロファイルの数を最小限にとどめるために、1 つのユーザー ID と 1 つのグループ ID、および汎用性の高いプロファイルを使用して、同一セル内の複数のサーバーをカバーできます。 以下は、T5CELL に 1 人のユーザー (T5USR)、1 つのグループ (T5GRP)、 および複数サーバーのセットを持つプロファイルの例です。ここには、T5SRV* で始まるサーバーのショート・ネームと、T5CL* で始まる汎用サーバー名が含まれています。 この手法は、統合 JMS プロバイダー (IJP) および WebSphere Application Server Network Deployment (ND) の構成でも使用できます。
/* CBIND Class profiles (UACC) - access to generic servers */
CB.BIND.T5CL* UACC(READ); PERMIT ID(T5GRP) ACC(CONTROL)

/* CBIND Class profiles (UACC) - access to objects in servers */
CB.T5CL* UACC(READ); PERMIT ID(T5GRP) ACC(CONTROL)

/* SERVER Class profiles - access to controllers (old style) */
CB.*.T5CL* UACC(NONE); PERMIT ID(T5USR) ACC(READ)

/* SERVER Class profiles - acc to controllers (new style) */
CB.*.*.T5CELL UACC(NONE); PERMIT ID(T5USR) ACC(READ)

/* STARTED Class profiles - (MGCRE) - for STCs, except servants */
T5ACR.* STDATA(USER(T5USR) GROUP(T5GRP)) /* controller*/
T5DMN.* STDATA(USER(T5USR) GROUP(T5GRP)) /* daemon */
T5CTRW.* STDATA(USER(T5USR) GROUP(T5GRP)) /* CTrace WTR*/
WMQX*.* STDATA(USER(T5USR) GROUP(T5GRP)) /* IJP */

/* STARTED Class profiles - (ASCRE - for servants) */
T5SRV*.* STDATA(USER(T5USR) GROUP(T5GRP)) /* servant */

トピックのタイプを示すアイコン 概念トピック



タイム・スタンプ・アイコン 最終更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=csec_racftips
ファイル名:csec_racftips.html