É possível usar a classe CBIND no RACF para restringir a capacidade de um cliente
de acessar clusters de Java™ Application Clients ou servidores compatíveis
com J2EE. Você deve ter permissão de
LEITURA para acessar os clusters.
Antes de Iniciar
Esta classe também pode ser utilizada para especificar quais servidores são confiáveis para asserção de identidades (sem autenticador).
Lembre-se: Ao usar
a identidade confiável do servidor, o ID do servidor RACF precisa receber a permissão CONTROL
para o perfil.
- Asserção de identidade do z/SAS (z/OS Secure
Authentication Services) aceita
- Asserção de identidade do CSIv2 (Common Secure Interoperability versão 2)
- Transporte HTTP do contêiner da Web
Importante: O z/SAS é suportado somente entre os servidores Versão 6.0.x e anterior
que foram associados a uma célula Versão 6.1.
Sobre Esta Tarefa
Isto valida um servidor intermediário para enviar certificados
(MutualAuthCBindCheck=true). Você pode desativar a classe se não precisar desse tipo de controle de acesso.
Os servidores são em clusters ou não em clusters. O valor de cluster_name
é:
- Para um servidor em cluster, o cluster_name utilizado nesse perfis é o nome
curto do cluster.
- Para um servidor não em cluster, em vez de um cluster_name uma propriedade customizada de servidor (ClusterTransitionName) é utilizada.
Nota: Quando você converte um servidor em um servidor em cluster,
o ClusterTransitionName torna-se o nome abreviado do cluster.
As etapas a seguir explicam a verificação de autorização de CBIND pelo
WebSphere Application Server para z/OS.
Procedimento
- É possível utilizar a classe CBIND no RACF para restringir a capacidade de um cliente
de acessar clusters, ou desativar a classe se esse tipo de controle de acesso não for necessário. O WebSphere Application Server for z/OS usa dois tipos de perfis na classe CBIND. Um tipo de perfil controla se um cliente local ou remoto
pode acessar os clusters. O nome do perfil
tem o seguinte formato, em que cluster_name é o nome
do cluster e SAF_profile_prefix é o prefixo utilizado
para perfis do SAF.
CB.BIND.<optional SAF_profile_prefix>.<cluster_name>
Nota: Quando se inclui um novo cluster, é preciso autorizar todos os
IDs de usuários de Clientes Java e Servidores para ter acesso de leitura aos perfis de RACF CB.
cluster_name e CB.BIND.
cluster_name.
Exemplo: WSADMIN
necessita de autoridade de leitura para os perfis CB.BBOC001 e CB.BIND.BBOC001:
PERMIT CB.BBOC001 CLASS(CBIND) ID(WSADMIN) ACCESS(READ)
PERMIT CB.BIND.BBOC001 CLASS(CBIND) ID(WSADMIN) ACCESS(READ)
- Também é possível usar a classe CBIND do System Authorization Facility (SAF) para indicar que um processo é confiável para declarar identidades para o WebSphere Application Server para z/OS.
Este uso
é destinado principalmente para utilização por servidores intermediários confiáveis que já tenham autenticados os responsáveis pelas chamadas a eles. O servidor (ou processo) intermediário deve estabelecer sua identidade de rede para WebSphere Application Server
para z/OS usando certificados de cliente SSL. Esta identidade de rede é mapeada para um ID de usuário MVS pelo serviço de segurança do SAF. É necessário conceder a esta identidade mapeada acesso
CONTROL para que o processo CB.BIND.<optional SAF_profile_prefix>.<cluster_name>
tenha autorização para asserir identidades. O uso de perfis CBIND
para estabelecer confiança é utilizado pelos seguintes mecanismos de autenticação:
- Transporte HTTP do Contêiner da Web (que valida certificados de cliente não-criptografados
quando a propriedade: MutualAuthCBindCheck=true está definida)
- Asserção de identidade CSIv2 para IIOP
- Asserção de identidade do z/SAS aceita
Por exemplo, o WEBSERV deve fazer asserção aos certificados clientes
recebidos dos responsáveis pela chamada: PERMIT CB.BIND.BBOC001 CLASS(CBIND) ID(WEBSERV) ACCESS(CONTROL)