![[z/OS]](../images/ngzos.gif)
제어 요약
각 제어기, 하위(servant) 및 클라이언트에는 자체 MVS™ 사용자 ID가 있어야 합니다. 요청이 클라이언트에서 클러스터로 또는 클러스터에서 클러스터로 플로우되는 경우 z/OS®용 WebSphere® Application Server는 요청과 함께 사용자 ID(클라이언트 또는 클러스터)를 전달합니다. 따라서 각 요청은 사용자 ID를 대신해서 수행되며 시스템은 사용자 ID에 그러한 요청을 할 수 있는 권한이 있는지 확인합니다. 이 테이블은 SAF(System Authorization Facility) 및 비SAF 권한에 대한 개략적으로 설명합니다.
관리 보안 설정과는 별도인 z/OS 보안 제어의 요약
- 배치 관리자
- 노드 에이전트
- 위치 서비스 디먼
- WebSphere Application Server
각 제어기 및 하위(servant)는 시작된 태스크 정의의 일부로 지정된 유효한 MVS 사용자 ID로 실행되어야 합니다. 이 MVS 사용자 ID에는 유효한 UNIX 시스템 서비스 ID(UID)가 있어야 하고 셀에 있는 모든 서버에 공통인 WebSphere 구성 그룹에 유효한 MVS 및 UNIX 시스템 서비스 그룹 ID(GID)로 연결되어야 합니다.
제어 | 권한 |
---|---|
DATASET 클래스 | 데이터 세트에 대한 액세스 권한 |
DSNR 클래스 | DB2®(Database 2)에 대한 액세스 권한 |
FACILITY 클래스(BPX.WLMSERVER) | 하위(servant)에서 워크로드 관리자(WLM) 고립 영역 관리를 수행하기 위한 BPX.WLMSERVER 프로파일에 대한 액세스 권한. 이 액세스 권한이 없으면 분류를 수행할 수 없습니다. |
FACILITY 클래스(IMSXCF.OTMACI) | IMS™(Information Management System)용 OTMA(Open Transaction Manager Access)에 대한 액세스 권한 및 BPX.WLMSERVER 프로파일에 대한 액세스 권한 |
HFS 파일 권한 | HFS(Hierarchical File System) 파일에 대한 액세스 권한 |
LOGSTRM 클래스 | 로그 스트림에 대한 액세스 권한 |
OPERCMDS 클래스 | startServer.sh 쉘 스크립트 및 Integral JMSProvider에 대한 액세스 권한 |
SERVER 클래스 | 하위(servant)별 제어기에 대한 액세스 권한 |
STARTED 클래스 | 사용자 ID(및 선택적으로 그룹 ID)를 연관시켜 프로시저 시작 |
SURROGAT 클래스(*.DFHEXCI) | CICS®(Customer Information Control System) 액세스를 위한 EXCI에 대한 액세스 권한 |
WebSphere z/OS 프로파일 관리 도구 또는 zpmt 명령 및 RACF®(Resource Access Control Facility) 사용자 정의 작업은 *'ed 프로파일의 초기 서버 설정에서 이러한 권한을 설정합니다.
- 커넥터 유형
- 배치된 애플리케이션의 자원 인증(resAuth) 설정
- 별명의 사용 가능성
- 보안 설정
- FACILITY 클래스(IMSXCF.OTMACI)를 통해 IMS에 대한 OTMA에 액세스
- SURROGAT 클래스(*.DFHEXCI)를 통해 CICS에 대한 EXCI에 액세스
- 파일 권한으로 DATASET 클래스 및 HFS 파일을 통해 데이터 세트에 제어 액세스
J2EE 애플리케이션에서 액세스되는 다른 모든 MVS 서브시스템 자원에 대한 MVS SAF 권한 부여는 일반적으로 하위(servant) MVS 사용자의 ID를 사용하여 수행됩니다. 자세한 정보는 Java Platform, Enterprise Edition ID 및 운영 체제 스레드 ID의 내용을 참조하십시오.
FACILITY 클래스의 BPX.WLMSERVER 프로파일은 워크로드 관리(WLM)와 인터페이스하여 서버 리젼 내에서 워크로드 관리를 수행하는 LE(Language Environment®) 런타임 서비스를 사용하기 위해 주소 영역에 권한을 부여하는 데 사용됩니다. 이러한 LE 런타임 서비스는 WebSphere Application Server가 고립 영역에서 분류 정보를 추출하고 고립 영역과 작업의 연관을 관리하기 위해 사용합니다. 제어기에서 하위(servant)로 전달되지 않은 서버 리젼 작업을 위한 WLM 고립 영역을 조작하기 위해 권한이 없는 인터페이스가 사용되기 때문에 WebSphere Application Server 하위(servant)에게는 이 프로파일에 대한 READ 액세스가 허용되어야 합니다. 이 권한 없이는 WLM 고립 영역을 작성, 삭제, 결합 또는 종료하려는 시도가 java.lang.SecurityException로 실패합니다.
관리 및 애플리케이션 보안이 사용 설정된 경우 유효한 z/OS 보안 제어의 요약
관리 및 애플리케이션 보안이 사용으로 설정되면 암호화 및 메시지 보호를 위해 SSL이 사용 가능해야 합니다. 또한 J2EE 및 관리 클라이언트의 인증 및 권한이 사용으로 설정됩니다.
SSL 서비스 및 SAF 키 링의 정의에 필요한 FACILITY 클래스 권한은 관리 보안이 사용으로 설정되는 경우 필요합니다.
요청이 클라이언트에서 WebSphere Application Server로 또는 클러스터에서 클러스터로 플로우되는 경우 z/OS용 WebSphere Application Server는 요청과 함께 사용자 ID(클라이언트 또는 클러스터)를 전달합니다. 따라서 각 요청은 사용자 ID를 대신해서 수행되며 시스템은 사용자 ID에 그러한 요청을 할 수 있는 권한이 있는지 확인합니다. 이 테이블은 SAF를 사용하는 z/OS 특정 권한에 대해 개략적으로 설명합니다.
제어 | 권한 |
---|---|
CBIND 클래스 | 클러스터에 대한 액세스 권한 |
EJBROLE 또는 GEJBROLE 클래스 | 엔터프라이즈 Bean에 있는 메소드에 대한 액세스 권한 |
FACILITY 클래스(IRR.DIGTCERT.LIST 및 IRR.DIGTCERT.LISTRING) | SSL 키 링, 인증서 및 맵핑 |
FACILITY 클래스(IRR.RUSERMAP) | Kerberos 신임 정보 |
FACILITY 클래스(BBO.SYNC) | OS 스레드에 대한 동기화 허용 사용 |
FACILITY 클래스(BBO.TRUSTEDAPPS) | 신뢰 애플리케이션 사용 |
SURROGAT 클래스(BBO.SYNC) | OS 스레드에 대한 동기화 허용 사용 |
PTKTDATA 클래스 | sysplex에서 PassTicket 사용 설정 |
OS 스레드 ID를 RunAs ID로 설정 | 비J2EE 자원의 시작 ID를 사용으로 설정하기 위해 사용되는 J2EE 클러스터 특성 |