[z/OS]

쓰기 가능 SAF 키 링 사용

WebSphere® Application Server는 WebSphere Application Server 관리자가 SAF 키 링을 위한 OCSF(Open Cryptographic Services Facility) 데이터 라이브러리 기능을 사용하여 SAF(System Authorization Facility) 키 링에서 특정 관리 오퍼레이션을 수행할 수 있도록 허용하는 기능을 제공합니다.

시작하기 전에

Application Server 프로파일을 생성하기 전에 프로파일 관리 도구를 사용하여 쓰기 가능한 키 링에 대한 지원을 사용으로 설정해야 합니다. 쓰기 가능한 키 링 지원은 z/OS® 릴리스 1.9 또는 z/OS 릴리스 1.8을 APAR OA22287 - 자원 액세스 제어 기능(RACF®)(또는 이에 상당하는 APAR 보안 제품) 및 APAR OA22295 – SAF와 함께 실행할 때에만 구성 가능합니다.

이 태스크 정보

클라이언트와 서버를 위해 RACF 권한 정의

기본적으로 쓰기 가능한 키 링 지원이 프로파일 관리 중에 사용 가능하면 기본 RACF 구성 스크립트는 쓰기 권한을 부여하기 위해 필요한 명령을 생성합니다. 옵션으로서 기존 설치로부터 마이그레이션할 때에는 다음 프로시저를 사용하여 RACF를 구성할 수 있습니다.
참고: 제어 리젼은 모든 서버 인증서 관리 쓰기 오퍼레이션을 수행하고 RACF 관리자는 제어 리젼 및 서번트 리젼 키 링을 업데이트하기 위해서는 제어 리젼의 RACF ID에 명시적으로 권한을 부여해야 합니다.

다음 프로시저는 권한을 부여하기 위해 링 특정 프로파일 확인을 사용합니다. 고리 특정 프로파일 확인은 특정 키 링에만 적용되고 키 링에 대한 글로벌 액세스를 허용하지 않습니다.

링 특정 프로파일 확인을 사용하면 <ringOwner>.<ringName>.LST 형식의 자원이 R_datalib READ 기능에서 특정 키 링에 대한 액세스 제어를 제공하기 위해 사용됩니다.

<ringOwner>.<ringName>.UPD 형식의 자원이 UPDATE 기능에서 특정 키 링에 액세스 제어를 제공하기 위해 사용됩니다.

클라이언트와 서버를 위해 RACF 권한을 정의하기 위한 프로시저는 다음과 같습니다.

프로시저

  1. RDATALIB 클래스의 링 특정 프로파일 확인을 사용하십시오. 다음 명령을 사용하십시오.
    SETR CLASSACT(RDATALIB)
    SETR RACLIST(RDATALIB) GENERIC(RDATALIB)
  2. 제어 리젼 RACF ID 및 서번트 리젼 RACF ID에 대해 고리 특정 LST 프로파일을 정의하십시오.
    RDEFINE RDATALIB CRRACFID.**.LST UACC(NONE)
    RDEFINE RDATALIB SRRACFID.**.LST UACC(NONE)
  3. RACF RDATALIB 클래스에서 제어 리젼 RACF 사용자 ID에 대한 CRRACFID.**.LSTSRRACFID.**.LST 프로파일의 CONTROL 액세스를 제공하십시오. 예를 들어, 제어 리젼 RACF 사용자 ID가 CRRACFID이고 서번트 리젼 RACF 사용자 ID가 SRRACFID이면 다음 명령을 실행하십시오.
    PERMIT  CRRACFID.**.LST CLASS(RDATALIB) ID(CRRACFID) ACC(CONTROL)
    PERMIT  SRRACFID.**.LST CLASS(RDATALIB) ID(CRRACFID) ACC(CONTROL)
    PERMIT  SRRACFID.**.LST CLASS(RDATALIB) ID(SRRACFID) ACC(CONTROL)
    또한 CRRACFID.**.LST 프로파일에 대해 WASCFGGROUP에 있는 모든 ID에 READ 액세스를 제공하십시오.
    PERMIT  CRRACFID.**.LST CLASS(RDATALIB) ID(WASCFGGROUP) ACC(READ)
  4. 제어 리젼 RACF ID 및 서번트 리젼 RACF ID에 대해 고리 특정 UPD 프로파일을 정의하십시오.
    RDEFINE RDATALIB CRRACFID.**.UPD UACC(NONE)
    RDEFINE RDATALIB SRRACFID.**.UPD UACC(NONE)
  5. RACF RDATALIB 클래스에서 제어 리젼 RACF 사용자 ID에 대한 CRRACFID.**.UPDSRRACFID.**.UPD 프로파일의 CONTROL 액세스를 제공하십시오. 예를 들어, 제어 리젼 RACF 사용자 ID가 CRRACFID이면 다음 명령을 실행하십시오.
    PERMIT  CRRACFID.**.UPD CLASS(RDATALIB) ID(CRRACFID) ACC(CONTROL)
    PERMIT  SRRACFID.**.UPD CLASS(RDATALIB) ID(CRRACFID) ACC(CONTROL)
  6. WebSphere Application Server 관리자 ID에 WebSphere Application Server 클라이언트 키 링에서 쓰기 오퍼레이션을 허용하기 위해 쓰기 액세스를 부여하십시오.
    RDEFINE RDATALIB ADMINUSERID.**.LST UACC(NONE)
    PERMIT ADMINRACFID.**.LST CLASS(RDATALIB) ID(WASCFGGROUP) ACC(READ)
    PERMIT ADMINRACFID.**.LST CLASS(RDATALIB) ID(ADMINRACFID) ACC(CONTROL)
    RDEFINE RDATALIB ADMINRACFID.**.UPD UACC(NONE)
    PERMIT  ADMINUSERID.**.LST CLASS(RDATALIB) ID(ADMINRACFID) ACC(CONTROL)
  7. RDATALIB 클래스를 새로 고치십시오.
    SETR RACLIST(RDATALIB) REFRESH
    참고: RACF 권한이 부여되지 않으면 키 링에서 인증서 쓰기 오퍼레이션을 시도할 때 다음 메시지를 받게 됩니다.
    Error Message: An error occurred creating the key store: R_datalib (IRRSDL00) error: One or more 
    updates could not be completed. Not RACF authorized to use the requested service. 
    Function code: (7) Return Codes: (8, 8, 8)
    참고: 새 키 링을 작성하거나 특정 인증서 쓰기 오퍼레이션을 수행하려고 시도하지만 기본 쓰기 가능한 지원이 없는 경우에는 다음 메시지를 받습니다.
    R_datalib (IRRSDL00) error: One or more updates could not be completed. Requested Function_code not defined. 
    Function code: (7) Return Codes: (8, 8, 20)
    알아두기: 쓰기 가능한 키 링 지원을 사용하려면 z/OS 릴리스 1.9 또는 1.8에서 APAR의 OA22287 및 OA22295와 함께 실행 중이어야 합니다.
    자세한 정보는 z/OS 인터넷 라이브러리 http://www-03.ibm.com/servers/eserver/zseries/zos/bkserv/에서 다음 문서에 링크할 수 있습니다.
    • RACF Callable Services 및 R_Datalib 서비스에 대한 전체 안내는 보안 서버 RACF Callable Services (SA22-7691)
    • RACF 명령에 대한 전체 안내는 z/OS Security Server RACF Security Administrator's Guide (SA22-7683)

주제 유형을 표시하는 아이콘 태스크 주제



시간소인 아이콘 마지막 업데이트 날짜: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_7usewriteSAF_keyring
파일 이름:tsec_7usewriteSAF_keyring.html