RACF®의 CBIND 클래스를 사용하면
Java™ 애플리케이션 클라이언트 또는
J2EE 준수 서버에서 클러스터에 액세스하는 클라이언트 기능을 제한할 수 있습니다.
클러스터에 액세스하려면 READ 권한이 있어야 합니다.
시작하기 전에
이 클래스를 사용하면 ID(인증자 제외)를 신뢰할 수 있는 서버를 지정할 수도 있습니다.
알아두기: 서버 신뢰 ID를 사용하는 경우
RACF 서버 ID에 프로파일에 대한 CONTROL 권한이 부여되어야 합니다.
- z/SAS(z/OS® Secure Authentication Services) ID 어설션 허용
- CSIv2(Common Secure Interoperability Version 2) ID 신뢰
- 웹 컨테이너 HTTP 전송
중요사항: z/SAS는 버전 6.1 셀에 연합된 이전 버전 서버와 버전 6.0.x 서버 사이에서만 지원됩니다.
이 태스크 정보
이를 통해 인증서를 전송하는 중간 서버의 유효성을 검증할 수 있습니다(MutualAuthCBindCheck=true).
이러한 유형의 액세스 제어가 필요하지 않은 경우 클래스를 비활성화할 수 있습니다.
서버는 클러스터되거나 클러스터되지 않습니다. cluster_name 값은 다음과 같습니다.
- 클러스터된 서버의 경우, 이 프로파일에서
사용하는 cluster_name이 클러스터 축약 이름입니다.
- 클러스터되지 않은 서버의 경우, cluster_name 대신 서버
사용자 정의 특성(ClusterTransitionName)을 사용합니다.
참고: 클러스터된 서버로 서버를 변환하면 ClusterTransitionName이
클러스터의 축약 이름이 됩니다.
다음 단계에서는 z/OS용
WebSphere® Application Server에
의한 CBIND 권한 검사에 대해 설명합니다.
프로시저
- RACF의 CBIND 클래스를 사용하면 클러스터에 액세스하는 클러스터
기능을 제한하거나, 이러한 유형의 액세스 제어가 필요하지 않은 경우 클래스를
비활성화할 수 있습니다. WebSphere Application Server for z/OS는
CBIND 클래스에서 두 가지 유형의 프로파일을 사용합니다. 한 유형의 프로파일은
로컬 또는 원격 클라이언트가 클러스터에 액세스할 수 있는지 여부를 제어합니다. 프로파일 이름의
양식은 다음과 같습니다. 여기서 cluster_name은 클러스터의 이름이고
SAF_profile_prefix는 SAF 프로파일에 사용되는 접두부입니다.
CB.BIND.<optional SAF_profile_prefix>.<cluster_name>
참고: 새 클러스터를 추가하는 경우, 모든 Java 클라이언트
사용자 ID 및 서버가 CB.
cluster_name 및 CB.BIND.
cluster_name
RACF 프로파일에 읽기 액세스할 수 있도록 해당 권한을 부여해야 합니다.
예제: WSADMIN이
CB.BBOC001 및 CB.BIND.BBOC001 프로파일에 대한 읽기 권한이 필요한 경우:
PERMIT CB.BBOC001 CLASS(CBIND) ID(WSADMIN) ACCESS(READ)
PERMIT CB.BIND.BBOC001 CLASS(CBIND) ID(WSADMIN) ACCESS(READ)
- SAF(System Authorization Facility) CBIND 클래스를 사용하여
프로세스에서 WebSphere Application Server for z/OS에 대한 ID를
신뢰할 수 있도록 표시할 수도 있습니다. 이러한
사용법은 주로 이미 해당 호출자를 인증한 신뢰할 수 있는 중간 서버가
사용하기 위한 것입니다. 중간 서버(또는 프로세스)는 SSL 클라이언트
인증을 사용하여 z/OS용 WebSphere Application Server에 대한 네트워크
ID를 설정해야 합니다. 이 네트워크 ID는 SAF 보안 서비스에 의해 MVS
사용자 ID로 맵핑됩니다. ID를 검증할 수 있는 권한을 부여 받으려면 이 맵핑된 ID에
CB.BIND.<optional SAF_profile_prefix>.<cluster_name> 프로세스에 대한
CONTROL 액세스 권한이 부여되어야 합니다. 신뢰를 구축하기 위한 CBIND 프로파일 사용은 다음 인증 메커니즘으로 수행됩니다.
- 웹 컨테이너 HTTP 전송(특성 MutualAuthCBindCheck=true가 설정된 경우
암호화되지 않은 클라이언트 인증의 유효성 검증)
- IIOP에 대한 CSIv2 ID 신뢰
- z/SAS ID 신뢰 승인
예를 들어, WEBSERV는 호출자에서 수신한 클라이언트 인증서를
신뢰해야 합니다. PERMIT CB.BIND.BBOC001 CLASS(CBIND) ID(WEBSERV) ACCESS(CONTROL)