[z/OS]

Suporte à Auditoria

Esse tópico fornece uma visão geral de como utilizar o suporte para auditoria.

A auditoria é executada utilizando os registros SMF emitidos pelo RACF ou por um Gerenciador de Segurança Externo equivalente. Isso significa que os registros de auditoria de SMF são cortados como parte do uso que o WebSphere Application Server faz das interfaces SAF e macros RACROUTE.

O WebSphere Application Server for z/OS faz uso das seguintes macros RACROUTE:
  • RACROUTE REQUEST AUTH (e FASTAUTH) - para verificar se um usuário está autorizado para uma classe
  • RACROUTE REQUEST=EXTRACT - para extrair RACO de um ACEE
  • RACROUTE REQUEST TOKENXTR - para extrair o UTOKEN (para o CICS)
  • RACROUTE REQUEST LIST - para verificar se as rotinas de FASTAUTH podem usar as cópias no armazenamento dos perfis general-resource para verificação de autorização
  • RACROUTE REQUEST STAT - para determinar se determinadas classes estão ativas
e das APIs SAF a seguir:
  • initACEE (IRRSIA00) - para gerenciar ACEEs
  • R_usermap (IRRSIM00) - mapear um nome do Kerberos principal para um ID do usuário do RACF

Para obter mais informações sobre a capacidade de auditoria de SMF das chamadas API RACROUTE e SAF que o WebSphere Application Server usa, consulte a documentação de Referência Macro RACROUTE e a documentação dos Serviços de Chamada do RACF do Servidor de Segurança, respectivamente, no Centro de Informações do z/OS apropriadas para sua versão do z/OS.

Tabela 1. Os mecanismos de autenticação de segurança e os dados correspondentes que são gravados para cada parte do campo ACEE X500NAME. A tabela a seguir lista os diversos mecanismos de autenticação de segurança e os dados correspondentes que são gravados em cada parte do campo ACEE X500NAME (estes dados também estão nos registros RACO e SMF).
Mecanismo de Autenticação Nome do Serviço Identidade Autenticada
Registro Personalizado Registro Customizado do WebSphere Nome principal do registro personalizado
Kerberos Kerberos para WebSphere Application Server Kerberos principal, no formato "DCE" utilizado para extrair o ID do usuário MVS correspondente utilizando IRRSIM00 (/.../realm/principal)
Nome da função do RunAs Nome da Função do WebSphere Nome da Função
Servidor RunAs Credencial do Servidor WebSphere ID do usuário MVS
Interceptor de Confiança Login Autorizado do WebSphere ID do usuário MVS
ID de usuário/senha do RunAs ID do Usuário/Senha do WebSphere ID do Usuário MVS
Além de rastrear pelo ID do usuário MVS, os eventos precisam ser rastreados para um ID de usuário original. Isso se aplica especialmente para IDs de usuários de origem que não são baseados em MVS, como Funções EJB, proprietários de Kerberos e proprietários de Registro Personalizado.

Ícone que indica o tipo de tópico Tópico de Referência



Ícone de registro de data e hora Última atualização: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rtrb_SMFusingaudit
Nome do arquivo: rtrb_SMFusingaudit.html