[z/OS]

Utilizando o CBIND para Controlar o Acesso aos Clusters

É possível usar a classe CBIND no RACF para restringir a capacidade de um cliente de acessar clusters de Java™ Application Clients ou servidores compatíveis com J2EE. Você deve ter permissão de LEITURA para acessar os clusters.

Antes de Iniciar

Esta classe também pode ser utilizada para especificar quais servidores são confiáveis para asserção de identidades (sem autenticador).
Lembre-se: Ao usar a identidade confiável do servidor, o ID do servidor RACF precisa receber a permissão CONTROL para o perfil.
  • Asserção de identidade do z/SAS (z/OS Secure Authentication Services) aceita
  • Asserção de identidade do CSIv2 (Common Secure Interoperability versão 2)
  • Transporte HTTP do contêiner da Web
Importante: O z/SAS é suportado somente entre os servidores Versão 6.0.x e anterior que foram associados a uma célula Versão 6.1.

Sobre Esta Tarefa

Isto valida um servidor intermediário para enviar certificados (MutualAuthCBindCheck=true). Você pode desativar a classe se não precisar desse tipo de controle de acesso.

Os servidores são em clusters ou não em clusters. O valor de cluster_name é:
  1. Para um servidor em cluster, o cluster_name utilizado nesse perfis é o nome curto do cluster.
  2. Para um servidor não em cluster, em vez de um cluster_name uma propriedade customizada de servidor (ClusterTransitionName) é utilizada.
Nota: Quando você converte um servidor em um servidor em cluster, o ClusterTransitionName torna-se o nome abreviado do cluster.
As etapas a seguir explicam a verificação de autorização de CBIND peloWebSphere Application Server para z/OS.

Procedimento

  1. É possível utilizar a classe CBIND no RACF para restringir a capacidade de um cliente de acessar clusters, ou desativar a classe se esse tipo de controle de acesso não for necessário. O WebSphere Application Server for z/OS usa dois tipos de perfis na classe CBIND. Um tipo de perfil controla se um cliente local ou remoto pode acessar os clusters. O nome do perfil tem o seguinte formato, em que cluster_name é o nome do cluster e SAF_profile_prefix é o prefixo utilizado para perfis do SAF.
    CB.BIND.<optional SAF_profile_prefix>.<cluster_name>
    Nota: Quando se inclui um novo cluster, é preciso autorizar todos os IDs de usuários de Clientes Java e Servidores para ter acesso de leitura aos perfis de RACF CB.cluster_name e CB.BIND.cluster_name.
    Exemplo: WSADMIN necessita de autoridade de leitura para os perfis CB.BBOC001 e CB.BIND.BBOC001:
    PERMIT CB.BBOC001      CLASS(CBIND) ID(WSADMIN) ACCESS(READ)
    PERMIT CB.BIND.BBOC001 CLASS(CBIND) ID(WSADMIN) ACCESS(READ)
  2. Também é possível usar a classe CBIND do System Authorization Facility (SAF) para indicar que um processo é confiável para declarar identidades para o WebSphere Application Server para z/OS. Este uso é destinado principalmente para utilização por servidores intermediários confiáveis que já tenham autenticados os responsáveis pelas chamadas a eles. O servidor (ou processo) intermediário deve estabelecer sua identidade de rede para WebSphere Application Server para z/OS usando certificados de cliente SSL. Esta identidade de rede é mapeada para um ID de usuário MVS pelo serviço de segurança do SAF. É necessário conceder a esta identidade mapeada acesso CONTROL para que o processo CB.BIND.<optional SAF_profile_prefix>.<cluster_name> tenha autorização para asserir identidades. O uso de perfis CBIND para estabelecer confiança é utilizado pelos seguintes mecanismos de autenticação:
    • Transporte HTTP do Contêiner da Web (que valida certificados de cliente não-criptografados quando a propriedade: MutualAuthCBindCheck=true está definida)
    • Asserção de identidade CSIv2 para IIOP
    • Asserção de identidade do z/SAS aceita
    Por exemplo, o WEBSERV deve fazer asserção aos certificados clientes recebidos dos responsáveis pela chamada: PERMIT CB.BIND.BBOC001 CLASS(CBIND) ID(WEBSERV) ACCESS(CONTROL)

Ícone que indica o tipo de tópico Tópico de Tarefa



Ícone de registro de data e hora Última atualização: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_safauth
Nome do arquivo: tsec_safauth.html