[z/OS]

WebSphere Application Server의 사용자 정의를 위한 RACF(Resource Access Control Facility) 팁

RACF®의 CBIND, SERVER 및 STARTED 클래스(또는 보안 제품)를 사용하여 서버 자원을 보호하는 데 사용되는 보안 메커니즘을 이해하는 것은 중요한 문제입니다. 이 문서는 보안 환경 관리를 위한 일부 기법과 함께 이러한 메커니즘에 대해 설명합니다.

WebSphere® 서버 및 자원을 보호하기 위하여 사용되는 RACF 프로파일에 관한 세부사항은 다음 클래스를 사용합니다.
  • CBIND: 서버 액세스 및 서버의 오브젝트 액세스
  • SERVER: 하위(servant) 영역의 제어기 영역 액세스
  • STARTED: 사용자 ID 및 그룹을 시작 프로시저(STC)로 연관

사용자 셀의 다른 서버에 대한 필수 RACF 프로파일 및 권한을 추가해야 합니다.

테스팅 환경(개별 서버의 보안이 주요 초점 또는 관심사가 아님)을 위한 최소 세트의 사용자, 그룹 및 프로파일을 정의할 수 있습니다.

RACF 프로파일(CBIND, SERVERSTARTED): WebSphere가 사용하는 RACF 프로파일에 대한 기본 정보는 SAF(System Authorization Facility) 클래스 및 프로파일에서 찾을 수 있습니다. 이 섹션은 CBIND, SERVERSTARTED 클래스 프로파일에 대한 일부 추가 세부사항을 추가합니다.

사용자 ID 및 그룹 ID: WebSphere z/OS® Profile Management Tool 또는 zpmt 명령을 사용하는 중에, BBOCBRAK 작업이 BBOWBRAK 작업으로 실행할 수 있는 RACF 명령을 생성합니다. 키:
CR = Controller Region
SR = Servant Region
CFG = Configuration (group)
server = server short name
cluster = generic server (short) name (also called cluster transition name)
먼저 6명의 사용자와 6개의 그룹이 다음과 같이 정의되며 이들은 나중에 다양한 사용 권한에서 사용되는 방식을 이해하는 데 도움이 되도록 기호로 표시됩니다.
<CR_userid> <CR_groupid>, <CFG_groupid>
<SR_userid> <SR_groupid>, <CFG_groupid>
<demn_userid> <demn_groupid>, <CFG_groupid>
<admin_userid> <CFG_groupid>
<client_userid> <client_groupid>
<ctracewtr_userid> <ctracewtr_groupid>

다음은 사용 권한 및 액세스 레벨과 함께 WebSphere 서버 및 자원을 보호하는 데 사용되는 다양한 프로파일입니다.

CBIND 클래스 프로파일: 애플리케이션 서버와 이들 서버의 오브젝트에 대한 액세스를 보호하기 위한 두 가지 형식 및 레벨의 CBIND 클래스 프로파일이 있습니다.
CBIND Class profiles - access to generic servers
CB.BIND.<cluster> UACC(READ); PERMIT <CR_group> ACC(CONTROL)

CBIND Class profiles - access to objects in servers
CB.<cluster> UACC(READ) PERMIT <CR_group> ACC(CONTROL)

SERVER 클래스 프로파일: 현재 서버 제어기 영역에 대한 액세스를 보호하기 위한 두 가지 형식의 SERVER 클래스 프로파일이 있습니다. 동적 애플리케이션 환경(DAE) 지원의 사용 가능 여부에 따라 단일 형식 SERVER 프로파일을 정의해야 합니다. 이는 z/OS V1R2 이상에 적용할 수 있는 WLM DAE APAR OW54622를 사용하여 수행됩니다.

WebSphere z/OS Profile Management Tool 또는 zpmt 명령에는 두 형식이 모두 사전 정의되어 있으며, 이 중 하나는 실제로 런타임 시 필요합니다. WebSphere Application Server for z/OS 런타임은 동적 애플리케이션 환경(DAE) 지원의 가용성에 기초하여 필수 형식을 동적으로 판별합니다.
  • 다음 명령은 정적 애플리케이션 환경(APAR 지원 없음)을 사용하여 제어기에 대한 액세스를 제공합니다. RDEFINE CB.&<server>.&<cluster> UACC(NONE); PERMIT &<SR_userid> ACC(READ)). 이 예에서, server = server name, cluster = cluster name 또는 cluster transition name이며 클러스터가 아직 작성되지 않은 경우 SR = the MVS user ID of the Server Region입니다.
  • 다음 명령은 동적 애플리케이션 환경(WLM DAE APAR 지원됨)을 사용하는 제어기에 대한 액세스를 제공합니다. CB.&<server>.&<cluster>.<cell> UACC(NONE); PERMIT &<SR_userid> ACC(READ) 이 예제에서 server = server name, cluster = cluster name 또는 cluster transition name이며, 아직 클러스터가 작성되지 않은 경우 cell = cell short nameSR = the MVS user ID of the Server Region입니다.
STARTED 클래스 프로파일: 시작 태스크가 MGCRE 인터페이스 또는 WLM(Workload Manager)이 하위(servant) 영역을 시작하기 위해 사용하는 주소 공간 작성(ASCRE) 인터페이스를 사용하여 시작하는지 여부에 기초하여 제어기 영역 및 기타 STC에 사용자 및 그룹 ID를 지정하는 데 사용하는 두 가지 형식의 STARTED 클래스 프로파일이 있습니다.
STARTED Class profiles - (MGCRE)
<<CR_proc>.<CR_jobname> STDATA(USER(CR_userid) GROUP(CFG_groupid))
<demn_proc>.* STDATA(USER(demn_userid) GROUP(CFG_groupid))

STARTED Class profiles - (ASCRE)
<SR_jobname>.<SR_jobname> STDATA(USER(SR_userid) GROUP(CFG_groupid))

STARTED Class profiles for IJP - (MGCRE)
<MQ_ssname>.* STDATA(USER(IJP_userid) GROUP(CFG_groupid))

새 서버에 대한 새 사용자 ID 및 프로파일 생성: 새로운 각 애플리케이션 서버의 고유 사용자 ID를 사용하려면 RACF 데이터베이스에서 이러한 사용자, 그룹 및 프로파일을 정의해야 합니다.

한 가지 기법은 WebSphere z/OS Profile Management Tool 또는 zpmt 명령, .DATA 파티션된 데이터 세트를 사용하여 BBOWBRAK 멤버의 사본을 편집하고 다음 항목을 새 사용자, 그룹 및 고유 New_server 이름과 New_cluster 이름 프로파일로 변경하는 것입니다.
  • 새 서버의 고유 사용자 ID를 원하는 경우 세 개의 새로운 사용자를 정의하고 이들을 다음 그룹에 연결하십시오.
    <New_CR_userid> <CR_groupid>, <CFG_groupid>
    <New_SR_userid> <SR_groupid>, <CFG_groupid>
    <New_client_userid> <client_groupid>
  • 새 클러스터에 대한 CBIND 클래스 프로파일(일반 서버 축약 이름):
    CB.BIND.<New_cluster>
    CB.<New_cluster>
  • 새 서버 및 클러스터에 대한 SERVER 클래스 프로파일:
    CB.<New_server>.<New_cluster>
    CB.<New_server>.<New_cluster>.<cell>
  • 새 서버의 제어기 및 하위(servant)의 영역에 대한 STARTED 클래스 프로파일:
    <CR_proc>.<New_CR_jobname> STDATA(USER(New_CR_userid)
                                            GROUP(CFG_groupid))
    <New_SR_jobname>.* STDATA(USER(New_SR_userid) GROUP(CFG_groupid))
미니멀리스트 프로파일: RACF 데이터 세트에서 사용자, 그룹 및 프로파일 수를 최소화하기 위해 하나의 사용자 ID, 하나의 그룹 ID 및 매우 일반적인 프로파일을 동일한 셀의 여러 서버에서 사용할 수 있습니다. 다음은 서버 축약 이름이 T5SRV*로 시작하고 일반 서버 이름이 T5CL*로 시작하는 T5CELL에 하나의 사용자(T5USR), 하나의 그룹(T5GRP) 및 서버 세트가 있는 프로파일의 예입니다. IJP(Integral JMS Provider) 및 ND(WebSphere Application Server, Network Deployment) 구성에도 이 기법을 사용할 수 있습니다.
/* CBIND Class profiles (UACC) - access to generic servers */
CB.BIND.T5CL* UACC(READ); PERMIT ID(T5GRP) ACC(CONTROL)

/* CBIND Class profiles (UACC) - access to objects in servers */
CB.T5CL* UACC(READ); PERMIT ID(T5GRP) ACC(CONTROL)

/* SERVER Class profiles - access to controllers (old style) */
CB.*.T5CL* UACC(NONE); PERMIT ID(T5USR) ACC(READ)

/* SERVER Class profiles - acc to controllers (new style) */
CB.*.*.T5CELL UACC(NONE); PERMIT ID(T5USR) ACC(READ)

/* STARTED Class profiles - (MGCRE) - for STCs, except servants */
T5ACR.* STDATA(USER(T5USR) GROUP(T5GRP)) /* controller*/
T5DMN.* STDATA(USER(T5USR) GROUP(T5GRP)) /* daemon */
T5CTRW.* STDATA(USER(T5USR) GROUP(T5GRP)) /* CTrace WTR*/
WMQX*.* STDATA(USER(T5USR) GROUP(T5GRP)) /* IJP */

/* STARTED Class profiles - (ASCRE - for servants) */
T5SRV*.* STDATA(USER(T5USR) GROUP(T5GRP)) /* servant */

주제 유형을 표시하는 아이콘 개념 주제



시간소인 아이콘 마지막 업데이트 날짜: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=csec_racftips
파일 이름:csec_racftips.html