z/OS セキュリティー・ オプション

z/OS® 用のアプリケーション・サーバーに指定するグローバル・セキュリティー・オプションを決定するには、このページを使用します。

この管理コンソール・ページを表示するには、「セキュリティー」>「グローバル・セキュリティー」 >「z/OS セキュリティー・オプション」とクリックします。

この管理コンソール・ページを表示するには、以下のステップを実行します。
  1. 「サーバー」>「サーバー・タイプ」>「WebSphere アプリケーション・サーバー (WebSphere application servers)」>server_name」とクリックします。
  2. 「セキュリティー」の下にある「サーバー・ドメイン (Server domain)」をクリックします。
  3. z/OS セキュリティー・オプション」をクリックします。

初めてセキュリティーの構成を行うときは、変更を行う前に、『グローバル・セキュリティー』 に記載されたステップを実行してください。セキュリティーを構成した後で、ユーザー・レジストリーまたは認証メカニズム・パネルに対して行った変更の妥当性を検査してください。 「適用」をクリックして、ユーザー・レジストリー設定を妥当性検査します。 構成されたユーザー・レジストリーに対するサーバー ID の認証を試みます。 グローバル・セキュリティーを使用可能にした後でユーザー・レジストリー設定の妥当性検査を行うと、 初めてサーバーを再始動するときに生じる可能性のある問題を減らすことができます。

リモート ID

別のシステムからこのサーバーに対する要求を行う Internet Inter-ORB Protocol (IIOP) 非認証クライアントについて想定される、 System Authorization Facility (SAF) ユーザー ID を指定します。

アプリケーション・リモート ID が許可されているかどうかを指定します。

注: この情報は、バージョン 6.1 セルで統合されるバージョン 6.0.x および前のサーバーにのみ適用されます。
ローカル ID

同じシステムからこのサーバーに対する要求を行う Internet Inter-ORB Protocol (IIOP) 非認証クライアント について想定される、SAF ユーザー ID を指定します。

アプリケーション・ローカル ID が許可されているかどうかを指定します。

注: この情報は、バージョン 6.1 セルで統合されるバージョン 6.0.x および前のサーバーにのみ適用されます。
アプリケーション・サーバーと z/OS スレッド ID の同期化を使用可能にする

アプリケーション・サーバーが、SyncToOSThread オプションを指定したアプリケーション・コンポーネントで、そのオプションを処理できることを示します。

このオプションは、アプリケーションがこの機能を要求するようコーディングされている場合に、アプリケーション・サーバーのランタイムで使用される Java™ Platform, Enterprise Edition (Java EE) ID とオペレーティング・システムのスレッド ID を同期化できるかどうかを示します。

オペレーティング・システム識別と Java EE 識別を同期化すると、オペレーティング・システム識別は、 認証呼び出し元、あるいはサーブレットまたは Enterprise JavaBeans™ (EJB) ファイルでの代行 RunAs 識別と同期化されます。 この同期化 (関連付け) により、サーバー領域 ID ではなく、 呼び出し元またはセキュリティー役割の ID が、ファイルへのアクセスなどの z/OS システム・サービス要求に使用されます。

この機能をアクティブにするために、以下の条件をすべて true にする必要があります。
  • 「Sync to OS thread allowed」値は true です。
  • アプリケーションは、デプロイメント記述子内に、true に設定される com.ibm.websphere.security.SyncToOSThread の env-entry を組み込みます。
  • 構成されたユーザー・アカウント・リポジトリーは、ローカル・オペレーティング・システムです。

これらの条件が true の場合、OS スレッド識別は最初、 Web または EJB 要求の認証呼び出し元に設定されます。 Java EE 識別が変更されるたびに、OS スレッドは変更されます。Java EE 識別は、デプロイメント記述子 の RunAs 仕様か、またはプログラマチック WSSubject.doAs() 要求のいずれか によって、変更することができます。

デフォルト設定である「OS スレッドへの同期の許可」値が false の場合は、 インストール済みアプリケーションのデプロイメント記述子のデプロイメント記述子設定の オペレーティング・システム・スレッドで ID を変更する機能は使用不可です。 サーバーが同期化の使用可能化を受け入れるように構成されておらず、アプリケーションのデプロイメント記述子 com.ibm.websphere.security.SyncToOSThread が true に設定されている場合、BBOJ0080W 警告メッセージにより、EJB が SyncToOSThread オプションを要求しているにもかかわらず、サーバーで SyncToOSThread オプションが使用可能になっていないことが示されます。

重要: このオプションは、セキュリティー監査に使用される SMF 80 のレコード数を著しく増加させます。 セキュリティー監査を SMF 80 のレコードに対してオンにすると、DASD の使用量が著しく増加します。

接続マネージャー RunAs スレッド ID を使用可能にする

実行スレッドの Java Platform, Enterprise Edition (Java EE) ID と関連付けられた MVS™ ID を設定します。 ローカル Java EE コネクター・アーキテクチャー (J2CA) コネクターは、アプリケーションが接続を要求した際の認証および許可に関して、MVS ID を受け入れることができます。

この設定を使用可能にすると、このメソッドでは、 オペレーティング・システム ID の変更要求を処理し、Java Platform, Enterprise Edition (Java EE) ID を反映することができます。 この機能は、スレッド識別サポートを利用する場合には必須です。 z/OS システム上のローカル・リソースにアクセスする Java EE コネクター・アーキテクチャー (J2CA) コネクターは、スレッド識別サポートを使用できます。 ローカル z/OS リソースにアクセスする一連の J2CA コネクターでは、 以下のすべての条件が該当する場合に、デフォルトでアプリケーションの Java EE 識別が使用されます。
  • リソース許可がコンテナー管理に設定されています (res-auth=container)。
  • このアプリケーションのデプロイ時に別名エントリーがコーディングされていません。
  • 「OS スレッドへの接続マネージャー同期」設定が「使用可能」に設定されています。

例えば、どのユーザーが各表にアクセスできるか を制御する、 既存の DB2® for z/OS セキュリティー・ポリシーを保有している場合は、DB2 for z/OS にもアクセスする WebSphere® アプリケーションにユーザーがアクセスするときに、このポリシーの実行が必要になります。 「Connection Manager RunAs Identity Enabled」が選択されると、 オペレーティング・システム ID (サーバー ID) ではなく、 Java EE ID (デフォルトにより、クライアント ID) が使用されて、 DB2 for z/OS への接続が確立されます。 アプリケーションについての DB2 for z/OS 表アクセスは、 既存の DB2 for z/OS セキュリティー・ポリシーを使用して判別されます。

スレッド識別サポートを使用する J2CA コネクターは、スレッド識別をサポートしていなければなりません。 顧客情報管理システム (CICS®)、情報管理システム (IMS™)、および DATABASE 2 (DB2) は スレッド識別をサポートします。 CICS および IMS では、 ターゲットの CICS または IMS が z/OS 用のアプリケーション・サーバーと同じシステムで構成されている場合にのみ、スレッド識別がサポートされます。DB2 では、常にスレッド識別がサポートされます。コネクターがスレッド識別をサポートしない場合、接続に関連したユーザー識別は、 そのコネクターによってサポートされるデフォルトのユーザー識別に基づいて決定されます。

データ型 ブール
デフォルト 使用不可
範囲 使用可能または使用不可



マーク付きのリンク (オンライン) では、インターネットにアクセスする必要があります。

関連概念
関連タスク
関連資料
グローバル・セキュリティーの設定


ファイル名: usec_zos_globalsec.html