![[z/OS]](../images/ngzos.gif)
制御の要約
各コントローラー、サーバント、およびクライアントは、それぞれ独自の MVS™ ユーザー ID を備えている必要があります。要求が、クライアントからクラスターへ、 またはクラスターからクラスターへ送られるときに、WebSphere® Application Server for z/OS® は、 要求とともにユーザー識別 (クライアントまたはクラスター) を渡します。 このように、ユーザー識別のために各要求が実行され、 システムは、ユーザー識別がこのような要求を行う権限を持っているかどうかを確認します。 この表には、SAF および SAF 以外の許可の概要を示します。
管理セキュリティー設定から独立した z/OS セキュリティー制御の要約
- デプロイメント・マネージャー
- ノード・エージェント
- ロケーション・サービス・デーモン
- WebSphere Application Server
それぞれのコントローラーとサーバントは、 始動済みタスクの定義の一部として割り当てられる有効な MVS ユーザー ID で実行される必要があります。 この MVS ユーザー ID は、 有効な UNIX システム・サービスのユーザー ID (UID) を持ち、 有効な MVS および UNIX システム・サービスのグループ ID (GID) を持つ、 セル内のすべてのサーバーに共通の WebSphere 構成グループに関連付けられている必要があります。
制御 | 許可 |
---|---|
DATASET クラス | データ・セットへのアクセス |
DSNR クラス | Database 2 (DB2®) へのアクセス |
FACILITY クラス (BPX.WLMSERVER) | BPX.WLMSERVER プロファイルにアクセスして、サーバントの作業負荷マネージャー (WLM) 別プログラム管理を実行します。 このアクセスがなければ、クラス分けは実行できません。 |
FACILITY クラス (IMSXCF.OTMACI) | Open Transaction Manager Access (OTMA) for Information Management System (IMS™) へのアクセスおよび BPX.WLMSERVER プロファイルへのアクセス |
HFS ファイル許可 | Hierarchical File System (HFS) ファイルへのアクセス |
LOGSTRM クラス | ログ・ストリームへのアクセス |
OPERCMDS クラス | startServer.sh シェル・スクリプト および Integral JMSProvider へのアクセス |
SERVER クラス | サーバントによる、コントローラーへのアクセス |
STARTED クラス | プロシージャーを開始するためにユーザー ID (およびオプションでグループ ID) を関連付ける |
SURROGAT クラス (*.DFHEXCI) | EXCI for Customer Information Control System (CICS®) へのアクセス |
WebSphere z/OS プロファイル管理ツールまたは zpmt コマンドおよびリソース・アクセス管理機能 (RACF®) カスタマイズ・ジョブによって、これらは *'ed プロファイルの初期サーバー設定用にセットアップされます。
- コネクターのタイプ
- デプロイ済みアプリケーションのリソース認証 (resAuth) 設定
- 別名の可用性
- セキュリティー設定
- OTMA for IMS に、FACILITY クラス (IMSXCF.OTMACI) を使用してアクセスします。
- EXCI for CICS に、SURROGAT クラス (*.DFHEXCI) を使用してアクセスします。
- データ・セットへのアクセスは DATASET クラスを使用して制御し 、HFS ファイルへのアクセスはファイル・アクセス権を使用して制御します。
J2EE アプリケーションによってアクセスされるその他のすべての MVS サブシステム・リソースに対する MVS SAF 許可は通常、サーバントの MVS ユーザー ID の識別を使用して実行されることに注意してください。詳しくは、Java Platform, Enterprise Edition ID および オペレーティング・システム・スレッド IDを参照してください。
FACILITY クラスの BPX.WLMSERVER プロファイルは、アドレス・スペースを許可するために使用され、 サーバー領域でワークロード管理を実行するワークロード管理 (WLM) と連動するLanguage Environment® (LE) ランタイム・サービスを使用します。これらの LE ランタイム・サービスは WebSphere Application Server が 別プログラムから種別情報を抽出し、別プログラムと作業との関連付けを管理するために使用します。コントローラーからサーバントへ渡されなかったサーバー領域作業の WLM 別プログラムの操作には、 未許可のインターフェースが使用されるため、WebSphere Application Server のサーバントでは、 このプロファイルに対する読み取りアクセスが許可されている必要があります。 この許可がなくては、java.lang.SecurityException で WLM 別プ ログラムを作成、削除、結合、あるいはそのままにしようとしても失敗します。
管理セキュリティーおよびアプリケーション・セキュリティーが使用可能であるときに有効な z/OS セキュリティー制御の要約
管理セキュリティーおよびアプリケーション・セキュリティーが有効である場合は、 暗号化およびメッセージ保護で SSL が有効でなければなりません。 さらに、J2EE と管理クライアントの認証および権限も使用可能です。
管理セキュリティーが使用可能であるときは、 SSL サービスで必要な FACILITY クラスの 許可と、SAF 鍵リングの定義が必要です。
要求が、クライアントから WebSphere Application Server へ、 またはクラスターからクラスターへ送られる場合、WebSphere Application Server for z/OS は、 要求とともにユーザー ID (クライアントまたはクラスター) を渡します。 したがって、各要求はユーザー識別の代わりに実行され、システムは、そのユーザー識別がそのような要求を行う権限を持っているかどうかを検査します。 この表には、SAF を使用する z/OS 固有の権限の概要を示します。
制御 | 許可 |
---|---|
CBIND クラス | クラスターへのアクセス |
EJBROLE または GEJBROLE クラス | エンタープライズ Bean のメソッドへのアクセス |
FACILITY クラス (IRR.DIGTCERT.LIST および IRR.DIGTCERT.LISTRING) | SSL 鍵リング、証明書、およびマッピング |
FACILITY クラス (IRR.RUSERMAP) | Kerberos クレデンシャル |
FACILITY クラス (BBO.SYNC) | 「Synch to OS Thread Allowed」の使用可能化 |
FACILITY クラス (BBO.TRUSTEDAPPS) | 信頼されたアプリケーションの使用可能化 |
SURROGAT クラス (BBO.SYNC) | 「Synch to OS Thread Allowed」の使用可能化 |
PTKTDATA クラス | シスプレックスで使用可能なパスチケット |
OS スレッド識別を RunAs 識別に設定する | J2EE 以外のリソースの開始識別を使用可能にするために使用される J2EE クラスター・プロパティー |