[z/OS]

제어 요약

각 제어기, 하위(servant) 및 클라이언트에는 자체 MVS™ 사용자 ID가 있어야 합니다. 요청이 클라이언트에서 클러스터로 또는 클러스터에서 클러스터로 플로우되는 경우 z/OS®용 WebSphere® Application Server는 요청과 함께 사용자 ID(클라이언트 또는 클러스터)를 전달합니다. 따라서 각 요청은 사용자 ID를 대신해서 수행되며 시스템은 사용자 ID에 그러한 요청을 할 수 있는 권한이 있는지 확인합니다. 이 테이블은 SAF(System Authorization Facility) 및 비SAF 권한에 대한 개략적으로 설명합니다.

관리 보안 설정과는 별도인 z/OS 보안 제어의 요약

z/OS용 WebSphere Application Server 구성에는 다양한 유형의 프로세스가 있습니다.
  • 배치 관리자
  • 노드 에이전트
  • 위치 서비스 디먼
  • WebSphere Application Server
이러한 프로세스 각각은 z/OS용 WebSphere Application Server 제어기 프로세스 또는 프로세스 쌍(제어기 및 하위(servant))으로 볼 수 있습니다.

각 제어기 및 하위(servant)는 시작된 태스크 정의의 일부로 지정된 유효한 MVS 사용자 ID로 실행되어야 합니다. 이 MVS 사용자 ID에는 유효한 UNIX 시스템 서비스 ID(UID)가 있어야 하고 셀에 있는 모든 서버에 공통인 WebSphere 구성 그룹에 유효한 MVS 및 UNIX 시스템 서비스 그룹 ID(GID)로 연결되어야 합니다.

다음 테이블은 운영 체제 자원에 액세스하기 위해 이러한 제어기 및 하위(servant)에 필요한 권한을 부여하는 데 사용되는 제어를 요약합니다. 이러한 제어에 대한 이해 및 사용을 통해 z/OS용 WebSphere Application Server의 모든 자원 액세스를 제어할 수 있습니다.
표 1. 제어 및 SAF 권한의 요약.

이 테이블은 제어의 요약 및 해당 SAF 권한을 포함합니다.

제어 권한
DATASET 클래스 데이터 세트에 대한 액세스 권한
DSNR 클래스 DB2®(Database 2)에 대한 액세스 권한
FACILITY 클래스(BPX.WLMSERVER) 하위(servant)에서 워크로드 관리자(WLM) 고립 영역 관리를 수행하기 위한 BPX.WLMSERVER 프로파일에 대한 액세스 권한. 이 액세스 권한이 없으면 분류를 수행할 수 없습니다.
FACILITY 클래스(IMSXCF.OTMACI) IMS™(Information Management System)용 OTMA(Open Transaction Manager Access)에 대한 액세스 권한 및 BPX.WLMSERVER 프로파일에 대한 액세스 권한
HFS 파일 권한 HFS(Hierarchical File System) 파일에 대한 액세스 권한
LOGSTRM 클래스 로그 스트림에 대한 액세스 권한
OPERCMDS 클래스 startServer.sh 쉘 스크립트 및 Integral JMSProvider에 대한 액세스 권한
SERVER 클래스 하위(servant)별 제어기에 대한 액세스 권한
STARTED 클래스 사용자 ID(및 선택적으로 그룹 ID)를 연관시켜 프로시저 시작
SURROGAT 클래스(*.DFHEXCI) CICS®(Customer Information Control System) 액세스를 위한 EXCI에 대한 액세스 권한

WebSphere z/OS 프로파일 관리 도구 또는 zpmt 명령 및 RACF®(Resource Access Control Facility) 사용자 정의 작업은 *'ed 프로파일의 초기 서버 설정에서 이러한 권한을 설정합니다.

참고: 다른 프로파일에 대한 권한 예제는 HLQ.DATA(BBOWBRAC)에서 생성된 exec 파일에서 찾을 수 있습니다. 기본 커넥터 자원(CICS, DB2, , IMS)에 대한 권한 부여에 사용할 ID 선택은 다음에 따라 다릅니다.
  • 커넥터 유형
  • 배치된 애플리케이션의 자원 인증(resAuth) 설정
  • 별명의 사용 가능성
  • 보안 설정
DB2, IMS 및 CICS와 같은 자원 관리자는 자원에 액세스하기 위한 클라이언트의 기능을 제어하는 자체 자원 제어를 구현했습니다. 자원 제어가 DB2에서 사용되는 경우 DSNR RACF 클래스(RACF 지원이 있는 경우)를 사용하거나 관련 DB2 GRANT문을 발행하십시오. 다음을 수행할 수 있습니다.
  • FACILITY 클래스(IMSXCF.OTMACI)를 통해 IMS에 대한 OTMA에 액세스
  • SURROGAT 클래스(*.DFHEXCI)를 통해 CICS에 대한 EXCI에 액세스
  • 파일 권한으로 DATASET 클래스 및 HFS 파일을 통해 데이터 세트에 제어 액세스

J2EE 애플리케이션에서 액세스되는 다른 모든 MVS 서브시스템 자원에 대한 MVS SAF 권한 부여는 일반적으로 하위(servant) MVS 사용자의 ID를 사용하여 수행됩니다. 자세한 정보는 Java Platform, Enterprise Edition ID 및 운영 체제 스레드 ID의 내용을 참조하십시오.

FACILITY 클래스의 BPX.WLMSERVER 프로파일은 워크로드 관리(WLM)와 인터페이스하여 서버 리젼 내에서 워크로드 관리를 수행하는 LE(Language Environment®) 런타임 서비스를 사용하기 위해 주소 영역에 권한을 부여하는 데 사용됩니다. 이러한 LE 런타임 서비스는 WebSphere Application Server가 고립 영역에서 분류 정보를 추출하고 고립 영역과 작업의 연관을 관리하기 위해 사용합니다. 제어기에서 하위(servant)로 전달되지 않은 서버 리젼 작업을 위한 WLM 고립 영역을 조작하기 위해 권한이 없는 인터페이스가 사용되기 때문에 WebSphere Application Server 하위(servant)에게는 이 프로파일에 대한 READ 액세스가 허용되어야 합니다. 이 권한 없이는 WLM 고립 영역을 작성, 삭제, 결합 또는 종료하려는 시도가 java.lang.SecurityException로 실패합니다.

관리 및 애플리케이션 보안이 사용 설정된 경우 유효한 z/OS 보안 제어의 요약

관리 및 애플리케이션 보안이 사용으로 설정되면 암호화 및 메시지 보호를 위해 SSL이 사용 가능해야 합니다. 또한 J2EE 및 관리 클라이언트의 인증 및 권한이 사용으로 설정됩니다.

SSL 서비스 및 SAF 키 링의 정의에 필요한 FACILITY 클래스 권한은 관리 보안이 사용으로 설정되는 경우 필요합니다.

요청이 클라이언트에서 WebSphere Application Server로 또는 클러스터에서 클러스터로 플로우되는 경우 z/OS용 WebSphere Application Server는 요청과 함께 사용자 ID(클라이언트 또는 클러스터)를 전달합니다. 따라서 각 요청은 사용자 ID를 대신해서 수행되며 시스템은 사용자 ID에 그러한 요청을 할 수 있는 권한이 있는지 확인합니다. 이 테이블은 SAF를 사용하는 z/OS 특정 권한에 대해 개략적으로 설명합니다.

다음 테이블은 자원에 권한을 부여하는 데 사용되는 제어를 요약합니다. 이러한 제어에 대한 이해 및 사용을 통해 z/OS용 WebSphere Application Server의 모든 자원에 대한 액세스를 제어할 수 있습니다.
표 2. 제어 및 SAF 권한의 요약.

이 테이블은 제어의 요약 및 해당 SAF 권한을 포함합니다.

제어 권한
CBIND 클래스 클러스터에 대한 액세스 권한
EJBROLE 또는 GEJBROLE 클래스 엔터프라이즈 Bean에 있는 메소드에 대한 액세스 권한
FACILITY 클래스(IRR.DIGTCERT.LIST 및 IRR.DIGTCERT.LISTRING) SSL 키 링, 인증서 및 맵핑
FACILITY 클래스(IRR.RUSERMAP) Kerberos 신임 정보
FACILITY 클래스(BBO.SYNC) OS 스레드에 대한 동기화 허용 사용
FACILITY 클래스(BBO.TRUSTEDAPPS) 신뢰 애플리케이션 사용
SURROGAT 클래스(BBO.SYNC) OS 스레드에 대한 동기화 허용 사용
PTKTDATA 클래스 sysplex에서 PassTicket 사용 설정
OS 스레드 ID를 RunAs ID로 설정 비J2EE 자원의 시작 ID를 사용으로 설정하기 위해 사용되는 J2EE 클러스터 특성

주제 유형을 표시하는 아이콘 참조 주제



시간소인 아이콘 마지막 업데이트 날짜: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rsec_sumofcontrol
파일 이름:rsec_sumofcontrol.html