[z/OS]

Utilizando os Anéis de Chaves SAF Graváveis

O WebSphere Application Server fornece a função para permitir que um administrador do WebSphere Application Server execute operações de gerenciamento de certificado em conjuntos de chaves do System Authorization Facility (SAF) usando as funções de biblioteca de dados ICSF (Open Cryptographic Services Facility) para conjuntos de chaves SAF.

Antes de Iniciar

Você deve ativar o suporte para conjuntos de chaves graváveis usando a Profile Management Tool antes de gerar os perfis do servidor de aplicativos. O suporte do anel de chaves gravável pode ser configurado apenas ao executar z/OS Release 1.9 ou o z/OS Release 1.8 com o APAR OA22287 - RACF (Resource Access Control Facility), ou o APAR do seu produto de segurança equivalente, e o APAR OA22295 – SAF.

Sobre Esta Tarefa

Definindo a Autoridade RACF para Clientes e Servidores

Por padrão, se o suporte de anel de chave gravável estiver ativado durante o gerenciamento do perfil, os scripts de configuração padrão do RACF criarão os comandos necessários para conceder a autoridade de gravação. Como opção, ao migrar de uma instalação existente, é possível configurar RACF utilizando o procedimento a seguir.
Nota: A região de controle executa todas as operações de gravação de gerenciamento de certificado do servidor, e o administrador do RACF deve conceder explicitamente autoridade para o ID do RACF da região de controle para atualizar a região de controle e os anéis de chave de região do servidor.

O procedimento a seguir usa a verificação de perfil específica do anel para conceder autoridade. A verificação de perfil específica de anel aplica-se apenas a um conjunto de chaves específico, e não permite acesso global a nenhum conjunto de chaves.

Com a verificação de perfil específica de anel, um recurso com o formato <ringOwner>.<ringName>.LST é utilizado para fornecer controle de acesso a um conjunto de chaves específico nas funções READ de R_datalib.

Um recurso com o formato <ringOwner>.<ringName>.UPD é utilizado para fornecer controle de acesso a um conjunto de chaves específico nas funções UPDATE.

O procedimento para definir a autoridade do RACF para clientes e servidores é o seguinte:

Procedimento

  1. Utilize a verificação do perfil específica do anel para a classe RDATALIB. Utilize os seguintes comandos:
    SETR CLASSACT(RDATALIB)
    SETR RACLIST(RDATALIB) GENERIC(RDATALIB)
  2. Defina um perfil LST específico do anel para o ID do RACF da região de controle, e para o ID do RACF da região do servidor.
    RDEFINE RDATALIB CRRACFID.**.LST UACC(NONE)
    RDEFINE RDATALIB SRRACFID.**.LST UACC(NONE)
  3. Forneça acesso CONTROL para os perfis do CRRACFID.**.LST e SRRACFID.**.LST na classe RACF RDATALIB para o ID do usuário do RACF da região de controle. Por exemplo, se um ID do usuário do RACF da região de controle for CRRACFID e o ID do usuário do RACF de sua região servidora for SRRACFID, emita os seguintes comandos:
    PERMIT  CRRACFID.**.LST CLASS(RDATALIB) ID(CRRACFID) ACC(CONTROL)
    PERMIT  SRRACFID.**.LST CLASS(RDATALIB) ID(CRRACFID) ACC(CONTROL)
    PERMIT  SRRACFID.**.LST CLASS(RDATALIB) ID(SRRACFID) ACC(CONTROL)
    Além disso, forneça acesso READ a todos os IDs no WASCFGGROUP para o perfil CRRACFID.**.LST.
    PERMIT  CRRACFID.**.LST CLASS(RDATALIB) ID(WASCFGGROUP) ACC(READ)
  4. Defina um perfil UPD específico do anel para o ID do RACF da região de controle e para o ID do RACF da região do servidor.
    RDEFINE RDATALIB CRRACFID.**.UPD UACC(NONE)
    RDEFINE RDATALIB SRRACFID.**.UPD UACC(NONE)
  5. Forneça acesso de CONTROL para os perfis do CRRACFID.**.UPD e SRRACFID.**.UPD na classe RDATALIB RACF para o ID do usuário do RACF da região de controle. Por exemplo, se o seu ID do usuário do RACF da região de controle for CRRACFID, emita o seguinte comando:
    PERMIT  CRRACFID.**.UPD CLASS(RDATALIB) ID(CRRACFID) ACC(CONTROL)
    PERMIT  SRRACFID.**.UPD CLASS(RDATALIB) ID(CRRACFID) ACC(CONTROL)
  6. Conceda acesso de gravação para o ID do administrador do WebSphere Application Server para permitir as operações de gravação nos anéis de chave cliente do WebSphere Application Server.
    RDEFINE RDATALIB ADMINUSERID.**.LST UACC(NONE)
    PERMIT ADMINRACFID.**.LST CLASS(RDATALIB) ID(WASCFGGROUP) ACC(READ)
    PERMIT ADMINRACFID.**.LST CLASS(RDATALIB) ID(ADMINRACFID) ACC(CONTROL)
    RDEFINE RDATALIB ADMINRACFID.**.UPD UACC(NONE)
    PERMIT  ADMINUSERID.**.LST CLASS(RDATALIB) ID(ADMINRACFID) ACC(CONTROL)
  7. Atualize a classe RDATALIB.
    SETR RACLIST(RDATALIB) REFRESH
    Nota: Se a autoridade RACF não for concedida, você receberá a mensagem a seguir ao tentar certificar operações de gravação em um conjunto de chaves:
    Mensagem de erro: Ocorreu um erro ao criar o armazenamento de chave: erro R_datalib (IRRSDL00): Uma ou mais atualizações não puderam ser concluídas. RACF não autorizado para utilizar o serviço solicitado. 
    Código de função: (7) Códigos de retorno: (8, 8, 8)
    Nota: Se você tentar criar um novo anel de chave ou realizar uma operação de gravação específica e não possuir suporte nativo gravável, a seguinte mensagem será exibida:
    Erro R_datalib (IRRSDL00): Uma ou mais atualizações não puderam ser concluídas. O Function_code solicitado não está definido. 
    Código de função: (7) Códigos de retorno: (8, 8, 20)
    Lembre-se: É necessário estar executando em um z/OS release 1.9 ou 1.8 com OA22287 e OA22295 do APAR para utilizar o suporte de anel de chave gravável.
    É possível estabelecer um link com os seguintes documentos na biblioteca da Internet do z/OS http://www-03.ibm.com/servers/eserver/zseries/zos/bkserv/ para obter mais informações:
    • Servidor de Segurança RACF Callable Services (SA22-7691) para obter um guia completo dos serviços chamáveis RACF e o serviço R_Datalib
    • Servidor de Segurança do z/OS e Guia do Administrador de Segurança do RACF (SA22-7683) para obter um guia completo dos comandos do RACF

Ícone que indica o tipo de tópico Tópico de Tarefa



Ícone de registro de data e hora Última atualização: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_7usewriteSAF_keyring
Nome do arquivo: tsec_7usewriteSAF_keyring.html