[z/OS]

使用可写 SAF 密钥环

WebSphere® Application Server 提供的功能允许 WebSphere Application Server 管理员通过将 OCSF(开放式加密服务工具)数据库功能用于系统授权工具 (SAF) 密钥环,对 SAF 密钥环执行证书管理操作。

开始之前

在生成应用程序服务器概要文件之前,必须使用 Profile Management Tool 来启用对可写密钥环的支持。仅当运行 z/OS® R1.9 或者带有 APAR OA22287 - 资源访问控制设施 (RACF®)(或者等效安全性产品的 APAR)以及 APAR OA22295 - SAF 的 z/OS R1.8 时,才可对可写密钥环支持进行配置。

关于此任务

定义客户机和服务器的 RACF 权限

缺省情况下,如果在概要文件管理期间启用了可写密钥环支持,那么缺省的 RACF 配置脚本将生成授予写权限所必需的命令。作为一个选项,从现有安装版本迁移时,您可以使用以下过程来配置 RACF。
注: 控制区域执行所有服务器证书管理写操作,RACF 管理员必须显式地将授权授予控制区域的 RACF 标识才能更新控制区域密钥环和服务方区域密钥环。

以下过程使用特定于环的概要文件检查来授予权限。特定于环的概要文件检查功能只适用于特定密钥环,而不允许对任何密钥环进行全局访问。

借助特定于环的概要文件检查,使用格式为 <ringOwner>.<ringName>.LST 的资源来提供对 R_datalib READ 功能上特定密钥环的访问控制。

使用格式为 <ringOwner>.<ringName>.UPD 的资源来提供对 UPDATE 功能上特定密钥环的访问控制。

用于为客户机和服务器定义 RACF 权限的过程如下所示:

过程

  1. 将特定于环的概要文件检查功能用于 RDATALIB 类。请使用下列命令:
    SETR CLASSACT(RDATALIB)
    SETR RACLIST(RDATALIB) GENERIC(RDATALIB)
  2. 为控制区域 RACF 标识和服务方区域 RACF 标识定义特定于环的 LST 概要文件。
    RDEFINE RDATALIB CRRACFID.**.LST UACC(NONE)
    RDEFINE RDATALIB SRRACFID.**.LST UACC(NONE)
  3. 将 RACF RDATALIB 类中 CRRACFID.**.LSTSRRACFID.**.LST 概要文件的 CONTROL 访问权授予控制区域 RACF 用户标识。例如,如果控制区域 RACF 用户标识是 CRRACFID,而服务方区域 RACF 用户标识是 SRRACFID,请发出下列命令:
    PERMIT  CRRACFID.**.LST CLASS(RDATALIB) ID(CRRACFID) ACC(CONTROL)
    PERMIT  SRRACFID.**.LST CLASS(RDATALIB) ID(CRRACFID) ACC(CONTROL)
    PERMIT  SRRACFID.**.LST CLASS(RDATALIB) ID(SRRACFID) ACC(CONTROL)
    并且,将 CRRACFID.**.LST 概要文件的 READ 访问权授予 WASCFGGROUP 中的所有标识。
    PERMIT  CRRACFID.**.LST CLASS(RDATALIB) ID(WASCFGGROUP) ACC(READ)
  4. 为控制区域 RACF 标识和服务方区域 RACF 标识定义特定于环的 UPD 概要文件。
    RDEFINE RDATALIB CRRACFID.**.UPD UACC(NONE)
    RDEFINE RDATALIB SRRACFID.**.UPD UACC(NONE)
  5. 将 RACF RDATALIB 类中 CRRACFID.**.UPDSRRACFID.**.UPD 概要文件的 CONTROL 访问权授予控制区域 RACF 用户标识。例如,如果控制区域 RACF 用户标识为 CRRACFID,请发出以下命令:
    PERMIT  CRRACFID.**.UPD CLASS(RDATALIB) ID(CRRACFID) ACC(CONTROL)
    PERMIT  SRRACFID.**.UPD CLASS(RDATALIB) ID(CRRACFID) ACC(CONTROL)
  6. 将写访问权授予 WebSphere Application Server 管理员标识,以便允许对 WebSphere Application Server 客户机密钥环执行写操作。
    RDEFINE RDATALIB ADMINUSERID.**.LST UACC(NONE)
    PERMIT ADMINRACFID.**.LST CLASS(RDATALIB) ID(WASCFGGROUP) ACC(READ)
    PERMIT ADMINRACFID.**.LST CLASS(RDATALIB) ID(ADMINRACFID) ACC(CONTROL)
    RDEFINE RDATALIB ADMINRACFID.**.UPD UACC(NONE)
    PERMIT  ADMINUSERID.**.LST CLASS(RDATALIB) ID(ADMINRACFID) ACC(CONTROL)
  7. 刷新 RDATALIB 类。
    SETR RACLIST(RDATALIB) REFRESH
    注: 如果未授予 RACF 权限,那么尝试对密钥环执行证书写操作时,会接收到以下消息:
    Error Message: An error occurred creating the key store: R_datalib (IRRSDL00) error: One or more 
    updates could not be completed. Not RACF authorized to use the requested service. 
    Function code: (7) Return Codes: (8, 8, 8)
    注: 如果您尝试创建新的密钥环或者执行特定的证书写操作,但没有本机可写支持,那么您将接收到以下消息:
    R_datalib (IRRSDL00) error: One or more updates could not be completed. Requested Function_code not defined. 
    Function code: (7) Return Codes: (8, 8, 20)
    切记: 必须运行 z/OS R1.9 或者带有 APAR OA22287 和 OA22295 的 1.8 才能使用可写密钥环支持。
    您可以链接到 z/OS 因特网资料库 (http://www-03.ibm.com/servers/eserver/zseries/zos/bkserv/) 中的以下文档以获取更多信息:
    • Security Server RACF Callable Services (SA22-7691) - 获取 RACF 可调用服务和 R_Datalib 服务的完整指南
    • z/OS Security Server RACF Security Administrator's Guide (SA22-7683) - 获取 RACF 命令的完整指南

指示主题类型的图标 任务主题



时间戳记图标 最近一次更新时间: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_7usewriteSAF_keyring
文件名:tsec_7usewriteSAF_keyring.html