[z/OS]

审计支持

本主题概述了如何使用审计支持。

审计是使用 RACF® 或等同的外部安全性管理器发出的 SMF 记录来执行的。这意味着在 WebSphere Application Server 使用 SAF 接口和 RACROUTE 宏的过程中将剪切 SMF 审计记录。

WebSphere Application Server for z/OS 将利用下列 RACROUTE 宏:
  • RACROUTE REQUEST AUTH(和 FASTAUTH)- 检查是否已授权用户使用类
  • RACROUTE REQUEST=EXTRACT - 从 ACEE 中抽取 RACO
  • RACROUTE REQUEST TOKENXTR - 抽取 UTOKEN(对于 CICS)
  • RACROUTE REQUEST LIST - 检查 FASTAUTH 例程是否可以使用常规资源概要文件的存储器内副本来进行授权检查
  • RACROUTE REQUEST STAT - 确定某些类是否处于活动状态
还将利用下列 SAF API:
  • initACEE (IRRSIA00) - 用于管理 ACEE
  • R_usermap (IRRSIM00) - 将 Kerberos 主体名称映射至 RACF 用户标识

有关 RACROUTE 的 SMF 可审计性以及 WebSphere Application Server 使用的 SAF API 调用的更多信息,请分别参阅 z/OS 信息中心中适用于您所使用的 z/OS 版本的“RACROUTE 宏参考”文档和“安全服务器 RACF 可调用服务”文档。

表 1. 安全性认证机制和写入 ACEE X500NAME 字段的每个部件的相应数据. 下表列出各种安全性认证机制和写入 ACEE X500NAME 字段的每个部件的相应数据(此数据也在 RACO 和 SMF 记录中)。
认证机制 服务名称 已认证的身份
定制注册表 WebSphere® 定制注册表 定制注册表主体名称
Kerberos 用于 WebSphere Application Server 的 Kerberos “DCE”格式的 Kerberos 主体,该格式用于使用 IRRSIM00 (/.../realm/principal) 抽取相应 MVS™ 用户标识
RunAs 角色名 WebSphere 角色名 角色名
RunAs 服务器 WebSphere 服务器凭证 MVS 用户标识
信任拦截器 WebSphere 授权登录 MVS 用户标识
RunAs 用户标识/密码 WebSphere 用户标识/密码 MVS 用户标识
除了通过 MVS 用户标识跟踪,还需要跟踪事件到始发用户标识。对于非基于 MVS 的始发用户标识(如 EJB 角色、Kerberos 主体和定制注册表主体)尤其如此。

指示主题类型的图标 参考主题



时间戳记图标 最近一次更新时间: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rtrb_SMFusingaudit
文件名:rtrb_SMFusingaudit.html