可以使用 RACF® 中的 CBIND 类限制客户机访问来自 Java™ 应用程序客户机或遵从 J2EE 服务器的集群的能力。您必须具有 READ 许可权才能访问集群。
开始之前
还可以使用这个类来指定哪些服务器是可信的可以声明标识(不用鉴别符)。
切记: 在使用服务器信任的标识时,需要向 RACF 服务器标识授予对概要文件的 CONTROL 许可权。
- 接受 z/OS® 安全认证服务 (z/SAS) 身份断言
- 公共安全互操作性 V2 (CSIv2) 身份断言
- Web 容器 HTTP 传输
要点: 只有在 V6.0.x 与 V6.1 单元中联合的先前版本服务器之间才支持 z/SAS。
关于此任务
这验证中间服务器是否要发送证书 (MutualAuthCBindCheck=true)。如果您不需要此种访问控制,那么可以停用该类。
服务器是集群的或非集群的。cluster_name 的值是:
- 对于集群服务器,在这些概要文件中使用的 cluster_name 是集群短名称。
- 对于非集群服务器,使用服务器定制属性 (ClusterTransitionName) 代替使用 cluster_name。
注: 当您将服务器转换为集群服务器时,ClusterTransitionName 变成集群的短名称。
以下步骤说明
WebSphere® Application Server for z/OS 执行的 CBIND 授权检查。
过程
- 可以使用 RACF 中的 CBIND 类限制客户机访问集群的能力,如果您不需要此种访问控制,也可以停用该类。WebSphere Application Server for z/OS
在 CBIND 类中使用两种类型的概要文件。 一种类型的概要文件控制本地或远程客户机是否可以访问集群。该概要文件的名称具有以下格式,其中 cluster_name 是集群的名称,而 SAF_profile_prefix 是用于 SAF 概要文件的前缀。
CB.BIND.<optional SAF_profile_prefix>.<cluster_name>
注: 当您添加新的集群时,您必须授权所有 Java 客户机用户标识和服务器有对 CB.
cluster_name 和 CB.BIND.
cluster_name RACF 概要文件的读访问权。
示例: WSADMIN 需要对 CB.BBOC001 和 CB.BIND.BBOC001 概要文件的读权限:
PERMIT CB.BBOC001 CLASS(CBIND) ID(WSADMIN) ACCESS(READ)
PERMIT CB.BIND.BBOC001 CLASS(CBIND) ID(WSADMIN) ACCESS(READ)
- 您也可以使用系统授权工具 (SAF) CBIND 类表明对
WebSphere Application Server for z/OS 声明标识的某个进程是可信的。这种用法主要用于已认证其调用者的可信的中间服务器。中间服务器(或进程)必须使用 SSL
客户机证书对 WebSphere Application Server for z/OS 建立它的网络标识。通过 SAF 安全服务以使此网络标识映射到 MVS 用户标识。必须授予此映射的标识对
CB.BIND.<optional SAF_profile_prefix>.<cluster_name> 进程的控制访问权才能声明标识。使用 CBIND 概要文件建立信任用于以下认证机制:
- Web 容器 HTTP 传输(当设置了属性
MutualAuthCBindCheck=true 时,该 HTTP 传输验证未加密的客户机证书)
- IIOP 的 CSIv2 身份断言
- 接受 z/SAS 身份断言
例如,WEBSERV 必须声明从其调用者 PERMIT CB.BIND.BBOC001 CLASS(CBIND) ID(WEBSERV) ACCESS(CONTROL) 接收到的客户机证书