[z/OS]

使用 CBIND 控制对集群的访问

可以使用 RACF® 中的 CBIND 类限制客户机访问来自 Java™ 应用程序客户机或遵从 J2EE 服务器的集群的能力。您必须具有 READ 许可权才能访问集群。

开始之前

还可以使用这个类来指定哪些服务器是可信的可以声明标识(不用鉴别符)。
切记: 在使用服务器信任的标识时,需要向 RACF 服务器标识授予对概要文件的 CONTROL 许可权。
  • 接受 z/OS® 安全认证服务 (z/SAS) 身份断言
  • 公共安全互操作性 V2 (CSIv2) 身份断言
  • Web 容器 HTTP 传输
要点: 只有在 V6.0.x 与 V6.1 单元中联合的先前版本服务器之间才支持 z/SAS。

关于此任务

这验证中间服务器是否要发送证书 (MutualAuthCBindCheck=true)。如果您不需要此种访问控制,那么可以停用该类。

服务器是集群的或非集群的。cluster_name 的值是:
  1. 对于集群服务器,在这些概要文件中使用的 cluster_name 是集群短名称。
  2. 对于非集群服务器,使用服务器定制属性 (ClusterTransitionName) 代替使用 cluster_name。
注: 当您将服务器转换为集群服务器时,ClusterTransitionName 变成集群的短名称。
以下步骤说明 WebSphere® Application Server for z/OS 执行的 CBIND 授权检查。

过程

  1. 可以使用 RACF 中的 CBIND 类限制客户机访问集群的能力,如果您不需要此种访问控制,也可以停用该类。WebSphere Application Server for z/OS 在 CBIND 类中使用两种类型的概要文件。 一种类型的概要文件控制本地或远程客户机是否可以访问集群。该概要文件的名称具有以下格式,其中 cluster_name 是集群的名称,而 SAF_profile_prefix 是用于 SAF 概要文件的前缀。
    CB.BIND.<optional SAF_profile_prefix>.<cluster_name>
    注: 当您添加新的集群时,您必须授权所有 Java 客户机用户标识和服务器有对 CB.cluster_name 和 CB.BIND.cluster_name RACF 概要文件的读访问权。
    示例: WSADMIN 需要对 CB.BBOC001 和 CB.BIND.BBOC001 概要文件的读权限:
    PERMIT CB.BBOC001      CLASS(CBIND) ID(WSADMIN) ACCESS(READ)
    PERMIT CB.BIND.BBOC001 CLASS(CBIND) ID(WSADMIN) ACCESS(READ)
  2. 您也可以使用系统授权工具 (SAF) CBIND 类表明对 WebSphere Application Server for z/OS 声明标识的某个进程是可信的。这种用法主要用于已认证其调用者的可信的中间服务器。中间服务器(或进程)必须使用 SSL 客户机证书对 WebSphere Application Server for z/OS 建立它的网络标识。通过 SAF 安全服务以使此网络标识映射到 MVS 用户标识。必须授予此映射的标识对 CB.BIND.<optional SAF_profile_prefix>.<cluster_name> 进程的控制访问权才能声明标识。使用 CBIND 概要文件建立信任用于以下认证机制:
    • Web 容器 HTTP 传输(当设置了属性 MutualAuthCBindCheck=true 时,该 HTTP 传输验证未加密的客户机证书)
    • IIOP 的 CSIv2 身份断言
    • 接受 z/SAS 身份断言
    例如,WEBSERV 必须声明从其调用者 PERMIT CB.BIND.BBOC001 CLASS(CBIND) ID(WEBSERV) ACCESS(CONTROL) 接收到的客户机证书

指示主题类型的图标 任务主题



时间戳记图标 最近一次更新时间: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_safauth
文件名:tsec_safauth.html