[z/OS]

z/OS SAF(System Authorization Facility) 권한

이 페이지에서 SAF(System Authorization Facility) 및 SAF 권한 특성을 구성할 수 있습니다.

SAF 권한을 사용하려면 다음을 수행하십시오.
  1. 보안 > 글로벌 보안 > 외부 권한 제공자를 클릭하십시오.
  2. 권한 제공자의 드롭 다운 목록에서 SAF(System Authorization Facility)를 선택하십시오.
  3. 구성 단추를 클릭하십시오.
SAF 권한을 선택하는 경우, WebSphere® Application Server는 z/OS® 보안 제품에 저장된 권한 정책을 권한에 사용합니다. LDAP(Lightweight Access Directory Protocol) 레지스트리 또는 사용자 정의 레지스트리가 구성되고 SAF 권한이 지정된 경우, 보호된 메소드를 실행하려면 로그인할 때마다 z/OS 프린시펄에 맵핑해야 합니다.
  • 인증 메커니즘이 LTPA(Lightweight Third Party Authentication)이면 유효한 z/OS 프린시펄(예: WEB_INBOUND, RMI_INBOUND, DEFAULT)로의 맵핑을 포함하도록 다음 구성 항목을 모두 업데이트할 것을 권장합니다.
  • 인증 메커니즘이 SWAM(Simple WebSphere Authentication Mechanism)이면 유효한 z/OS 프린시펄로의 맵핑을 포함하도록 SWAM 구성 항목을 업데이트해야 합니다.
    참고: SWAM은 더 이상 사용되지 않고 이후 릴리스에서는 제거됩니다.

인증되지 않은 사용자, SAF 권한 및 SAF EJBROLE 메시지 제한의 공통 특성은 더 이상 사용자 정의 특성이 아닙니다.

이 옵션을 선택하는 경우, WebSphere Application Server는 z/OS 보안 제품에 저장된 권한 정책을 권한에 사용합니다.

인증되지 않은 사용자 ID

SAF 권한이 지정되었거나 로컬 운영 체제 레지스트리가 구성된 경우, 비보호 서블릿 요청을 표시하는 데 사용되는 MVS™ 사용자 ID를 지정합니다. 이 사용자 ID의 길이는 최대 8자여야 합니다.

이 특성 정의는 다음 경우에 사용합니다.
  • 비보호 서블릿이 엔티티 Bean을 호출하는 경우의 권한
  • res-auth=container인 경우 현재 ID를 사용하는 z/OS 커넥터(CICS®(Customer Information Control System), IMS™(Information Management System))를 호출하기 위한 비보호 서블릿의 식별을 위해
  • 애플리케이션에서 초기화된 Synch 대 OS 스레드 기능이 시도된 경우
자세한 정보는 Information Center에서 다음 문서를 참조하십시오.
  • "OS 스레드에 동기화 허용 애플리케이션 이해"
  • "OS 스레드에 동기화 허용을 사용 시기"

SAF 프로파일 맵퍼

Java™ Platform, Enterprise Edition(Java EE) 역할 이름을 맵핑할 SAF EJBRole 프로파일의 이름을 지정합니다. 지정한 이름은 com.ibm.websphere.security.SAFRoleMapper 인터페이스를 구현합니다.

기본 SAF 역할 맵퍼 구현인 com.ibm.ws.security.zOS.authz.SAFRoleMapperImpl 구현은 초기에 구성됩니다. 이 초기 구성은 백분율(%), 앰퍼샌드(&), 별표(*), 공백 문자 및 파운드(#) 문자와 같은 SAF 역할 이름에서 허용되지 않는 모든 문자를 맵핑합니다.

자세한 정보는 사용자 정의 SAF EJB 역할 맵퍼 개발의 내용을 참조하십시오.

SAF 위임 사용 가능

사용자가 RunAs 지정 역할을 선택하는 경우 활성 ID가 되는 MVS 사용자 ID가 SAF EJBROLE 정의에 지정되도록 지정합니다.

SAF 위임 사용 가능 옵션은 외부 권한 제공자로 SAF 권한 사용 가능 옵션을 선택하는 경우에만 선택하십시오.

APPL 프로파일을 사용하여 애플리케이션 서버에 대한 액세스를 제한하십시오.

APPL 프로파일을 사용하여 WebSphere Application Server에 대한 액세스를 제한하십시오.

SAF 프로파일 접두부를 정의한 경우, 사용된 APPL 프로파일은 프로파일 접두부입니다. 그렇지 않으면, APPL 프로파일 이름은 CBS390입니다. WebSphere 서비스를 사용하는 모든 z/OS ID는 APPL 프로파일에 대한 READ 권한이 있어야 합니다. 여기에는 모든 WebSphere Application Server ID, WebSphere Application Server 인증되지 않은 ID, WebSphere Application Server 관리 ID, 역할 대 사용자 맵핑을 기반으로 하는 사용자 ID 및 시스템 사용자의 모든 사용자 ID가 포함됩니다. APPL 클래스가 z/OS 시스템에서 활성화되지 않으면, 이 특성은 값과 관계 없이 영향을 미치지 않습니다.

정보
기본값: 사용 가능.

z/OS 보안 제품의 권한 실패 메시지 억제

ICH408I 메시지를 켤지 여부를 지정합니다. 이 설정의 기본값은 false(선택 취소됨)로, 메시지를 억제하지 않습니다.

SMF(System Management Facility)는 이 새 특성에 지정되는 값과 상관없이 액세스 위반을 기록합니다. 이 특성은 이름 지정 및 관리 서브시스템의 애플리케이션 정의 역할과 애플리케이션 서버 런타임 정의 역할 모두에 대한 액세스 위반 메시지 생성에 영향을 줍니다. EJBROLE 프로파일 검사는 선언적 검사와 프로그램식 검사 모두에 대해 수행됩니다.
  • 선언적 검사는 웹 애플리케이션에서 보안 제한으로 코딩되고 배치 디스크립터는 EJB(Enterprise JavaBean) 파일에서 보안 제한으로 코딩됩니다.
  • 프로그램 로직 검사 또는 액세스 검사는 엔터프라이즈 Bean의 경우 프로그램식 isCallerinRole(x) 메소드 또는 웹 애플리케이션의 경우 isUserInRole(x) 메소드를 사용하여 수행됩니다.
문제점 방지 문제점 방지:
  • SMF 감사 레코드 계획이 Default 로 설정된 경우 관리 역할 메시지 제한을 원하지 않으면, com.ibm.security.SAF.EJBROLE.Audit.Messages.Suppress.Admin 특성을 false로 설정하십시오. 이 특성에 지정된 값은 관리 역할의 메시지 제한을 관리하는 다른 설정을 대체합니다.
  • Tivoli® Access Manager 또는 z/OS용 SAF와 같은 써드파티 권한을 사용하는 경우, 관리 콘솔 패널의 정보가 제공자의 데이터를 나타내지 않을 수 있습니다. 또한 분할창의 모든 변경사항이 자동으로 제공자에 반영되지 않을 수 있습니다. 제공자의 지시사항에 따라 제공자의 모든 변경사항을 전달하십시오.
gotcha

SAF 권한에 대한 자세한 내용은 Information Center의 "로컬 OS 레지스트리 사용 시 콘솔 사용자로의 액세스 제어"를 참조하십시오. 관리 역할에 대한 자세한 내용은 Information Center의 "관리 역할"을 참조하십시오.

정보
기본값: 사용 불가능(메시지를 표시하지 않음)

SMF 감사 레코드 계획

감사 레코드를 SMF(System Management Facility)에 기록할 시점을 판별합니다. 각각의 권한 호출에서 RACF® 또는 동등한 SAF 기반 제품은 감사 레코드를 권한 검사 결과와 함께 SMF에 기록할 수 있습니다.

z/OS용 WebSphere Application Server는 SAF RACROUTE AUTH 및 RACROUTE FASTAUTH 조작을 사용하며 보안 구성에 지정된 LOG 옵션을 전달합니다. 옵션은 DEFAULT, ASIS, NOFAIL 및 NONE입니다.

다음 옵션은 드롭 다운 목록에서 사용할 수 있습니다.
DEFAULT

사용자가 일련의 역할 중 하나여야 하는 등의 복수의 역할 제한조건을 지정할 경우, 마지막 역할을 제외한 모든 역할을 NOFAIL 옵션으로 검사해야 합니다. 마지막 역할 이전 역할 중 하나에 권한을 부여하면, WebSphere Application Server가 권한 부여 성공 레코드를 작성합니다. 해당 역할에서 권한 부여가 성공하지 않을 경우, ASIS 로그 옵션으로 마지막 역할을 검사합니다. 사용자에게 마지막 역할에 권한이 부여된 경우, 성공 레코드를 작성할 수 있습니다. 사용자에게 권한이 부여되지 않은 경우, 실패 레코드를 작성할 수 있습니다.

ASIS
자원을 보호하는 프로파일에 지정된 방법으로 또는 SETROPTS 옵션에 의해 지정된 방법으로 감사 이벤트가 기록되도록 지정합니다.
NOFAIL
장애를 기록하지 않도록 지정합니다. 권한 부여 실패 메시지는 발행되지 않지만, 권한 부여 성공 감사 레코드를 작성할 수도 있습니다.
NONE
성공 또는 실패를 기록하지 않도록 지정합니다.

여러 SAF 권한 부여 호출을 수행한 경우에도 실패한 Java EE 권한 검사에 대해 하나의 권한 부여 실패 레코드만 작성합니다. SAF RACROUTE 호출의 LOG 옵션에 대한 자세한 정보는 RACF 또는 동등한 SAF 기반 제품 문서를 참조하십시오. 또한 자원 권한 처리 중에 RACROUTE 매크로와 SAF API에 대한 WebSphere Application Server 호출의 SMF 감사가능성에 대한 추가 정보는 감사 지원 주제를 참조할 수 있습니다.

SAF 프로파일 접두부

Java EE 역할에 사용되는 모든 SAF EJBROLE 프로파일 앞에 추가될 접두부를 지정합니다. 또한 이 접두부는 APPL 프로파일 이름으로 사용되며 CBIND 점검에 사용되는 프로파일 이름에 삽입됩니다. SAF 프로파일 접두부 필드에 대한 기본값이 없습니다. 접두부가 명시적으로으로 지정되지 않으면, 접두부는 SAF EJBROLE 프로파일에 추가되지 않고 CBS390의 기본값은 APPL 프로파일 이름으로 사용되며 CBIND 점검에 사용되는 프로파일 이름에 아무것도 삽입되지 않습니다.

APPL 프로파일을 사용하여 WebSphere Application Server에 대한 액세스를 제한할 수 있습니다.

SAF 프로파일 접두부를 정의한 경우, 사용된 APPL 프로파일은 프로파일 접두부입니다. 그렇지 않으면, APPL 프로파일 이름은 CBS390입니다. WebSphere 서비스를 사용하는 모든 z/OS ID는 APPL 프로파일에 대한 READ 권한이 있어야 합니다. 여기에는 모든 WebSphere Application Server ID, WebSphere Application Server 인증되지 않은 ID, WebSphere Application Server 관리 ID, 역할 대 사용자 맵핑을 기반으로 하는 사용자 ID 및 시스템 사용자의 모든 사용자 ID가 포함됩니다. APPL 클래스가 z/OS 시스템에서 활성화되지 않으면, 이 특성은 값과 관계 없이 영향을 미치지 않음에 유의하십시오.

참고: SAF 프로파일 접두부는 security.xml 파일의 com.ibm.security.SAF.profilePrefix.name 특성에 해당합니다.

주제 유형을 표시하는 아이콘 참조 주제



시간소인 아이콘 마지막 업데이트 날짜: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=usec_safpropszos
파일 이름:usec_safpropszos.html