[z/OS]

CBIND 사용하여 클러스터에 대한 액세스 제어

RACF®의 CBIND 클래스를 사용하면 Java™ 애플리케이션 클라이언트 또는 J2EE 준수 서버에서 클러스터에 액세스하는 클라이언트 기능을 제한할 수 있습니다. 클러스터에 액세스하려면 READ 권한이 있어야 합니다.

시작하기 전에

이 클래스를 사용하면 ID(인증자 제외)를 신뢰할 수 있는 서버를 지정할 수도 있습니다.
알아두기: 서버 신뢰 ID를 사용하는 경우 RACF 서버 ID에 프로파일에 대한 CONTROL 권한이 부여되어야 합니다.
  • z/SAS(z/OS® Secure Authentication Services) ID 어설션 허용
  • CSIv2(Common Secure Interoperability Version 2) ID 신뢰
  • 웹 컨테이너 HTTP 전송
중요사항: z/SAS는 버전 6.1 셀에 연합된 이전 버전 서버와 버전 6.0.x 서버 사이에서만 지원됩니다.

이 태스크 정보

이를 통해 인증서를 전송하는 중간 서버의 유효성을 검증할 수 있습니다(MutualAuthCBindCheck=true). 이러한 유형의 액세스 제어가 필요하지 않은 경우 클래스를 비활성화할 수 있습니다.

서버는 클러스터되거나 클러스터되지 않습니다. cluster_name 값은 다음과 같습니다.
  1. 클러스터된 서버의 경우, 이 프로파일에서 사용하는 cluster_name이 클러스터 축약 이름입니다.
  2. 클러스터되지 않은 서버의 경우, cluster_name 대신 서버 사용자 정의 특성(ClusterTransitionName)을 사용합니다.
참고: 클러스터된 서버로 서버를 변환하면 ClusterTransitionName이 클러스터의 축약 이름이 됩니다.
다음 단계에서는 z/OS용 WebSphere® Application Server에 의한 CBIND 권한 검사에 대해 설명합니다.

프로시저

  1. RACF의 CBIND 클래스를 사용하면 클러스터에 액세스하는 클러스터 기능을 제한하거나, 이러한 유형의 액세스 제어가 필요하지 않은 경우 클래스를 비활성화할 수 있습니다. WebSphere Application Server for z/OS는 CBIND 클래스에서 두 가지 유형의 프로파일을 사용합니다. 한 유형의 프로파일은 로컬 또는 원격 클라이언트가 클러스터에 액세스할 수 있는지 여부를 제어합니다. 프로파일 이름의 양식은 다음과 같습니다. 여기서 cluster_name은 클러스터의 이름이고 SAF_profile_prefix는 SAF 프로파일에 사용되는 접두부입니다.
    CB.BIND.<optional SAF_profile_prefix>.<cluster_name>
    참고: 새 클러스터를 추가하는 경우, 모든 Java 클라이언트 사용자 ID 및 서버가 CB.cluster_name 및 CB.BIND.cluster_name RACF 프로파일에 읽기 액세스할 수 있도록 해당 권한을 부여해야 합니다.
    예제: WSADMIN이 CB.BBOC001 및 CB.BIND.BBOC001 프로파일에 대한 읽기 권한이 필요한 경우:
    PERMIT CB.BBOC001      CLASS(CBIND) ID(WSADMIN) ACCESS(READ)
    PERMIT CB.BIND.BBOC001 CLASS(CBIND) ID(WSADMIN) ACCESS(READ)
  2. SAF(System Authorization Facility) CBIND 클래스를 사용하여 프로세스에서 WebSphere Application Server for z/OS에 대한 ID를 신뢰할 수 있도록 표시할 수도 있습니다. 이러한 사용법은 주로 이미 해당 호출자를 인증한 신뢰할 수 있는 중간 서버가 사용하기 위한 것입니다. 중간 서버(또는 프로세스)는 SSL 클라이언트 인증을 사용하여 z/OS용 WebSphere Application Server에 대한 네트워크 ID를 설정해야 합니다. 이 네트워크 ID는 SAF 보안 서비스에 의해 MVS 사용자 ID로 맵핑됩니다. ID를 검증할 수 있는 권한을 부여 받으려면 이 맵핑된 ID에 CB.BIND.<optional SAF_profile_prefix>.<cluster_name> 프로세스에 대한 CONTROL 액세스 권한이 부여되어야 합니다. 신뢰를 구축하기 위한 CBIND 프로파일 사용은 다음 인증 메커니즘으로 수행됩니다.
    • 웹 컨테이너 HTTP 전송(특성 MutualAuthCBindCheck=true가 설정된 경우 암호화되지 않은 클라이언트 인증의 유효성 검증)
    • IIOP에 대한 CSIv2 ID 신뢰
    • z/SAS ID 신뢰 승인
    예를 들어, WEBSERV는 호출자에서 수신한 클라이언트 인증서를 신뢰해야 합니다. PERMIT CB.BIND.BBOC001 CLASS(CBIND) ID(WEBSERV) ACCESS(CONTROL)

주제 유형을 표시하는 아이콘 태스크 주제



시간소인 아이콘 마지막 업데이트 날짜: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_safauth
파일 이름:tsec_safauth.html