z/OS 보안 옵션

이 페이지에서 z/OS®용 Application Server에 지정할 글로벌 보안 옵션을 판별할 수 있습니다.

이 관리 콘솔 페이지를 보려면 보안 > 글로벌 보안 > z/OS 보안 옵션을 클릭하십시오.

이 관리 콘솔 페이지를 보려면 다음 단계를 완료하십시오.
  1. 서버 > 서버 유형 > WebSphere Application Server > server_name을 클릭하십시오.
  2. 보안 아래에서 서버 도메인을 클릭하십시오.
  3. z/OS 보안 옵션을 클릭하십시오.

처음으로 보안을 구성하는 중인 경우, 변경하기 전에 글로벌 보안 기사의 단계를 완료하십시오. 보안을 구성한 다음, 사용자 레지스트리 또는 인증 메커니즘 패널의 모든 변경사항의 유효성을 검증하십시오. 적용을 클릭하여 사용자 레지스트리 설정의 유효성을 검증하십시오. 구성된 사용자 레지스트리에 대해 서버 ID를 인증하려는 시도가 수행됩니다. 글로벌 보안을 사용 가능하게 한 후 사용자 레지스트리 설정의 유효성을 검증하면 처음 서버를 다시 시작할 때 잠재적인 문제점을 줄일 수 있습니다.

원격 ID

다른 시스템에서 이 서버에 요청한 IIOP(Internet Inter-ORB Protocol) 비인증 클라이언트에 사용되는 SAF(System Authorization Facility) 사용자 ID를 지정합니다.

응용프로그램 원격 ID가 허용되는지 여부를 지정합니다.

주: 이 정보는 버전 6.0.x 및 버전 6.1 셀에서 연합된 이전 서버에만 적용됩니다.
로컬 ID

동일한 시스템에서 이 서버에 요청한 IIOP(Internet Inter-ORB Protocol) 비인증 클라이언트에 사용되는 SAF 사용자 ID를 지정합니다.

응용프로그램 로컬 ID가 허용되는지 여부를 지정합니다.

주: 이 정보는 버전 6.0.x 및 버전 6.1 셀에서 연합된 이전 서버에만 적용됩니다.
Application Server 및 z/OS 스레드 ID 동기화 사용 가능

Application Server가 SyncToOSThread 옵션을 지정하는 응용프로그램 컴포넌트에 대해 이 옵션을 처리할 수 있음을 지정합니다.

이 옵션을 선택하여 응용프로그램이 이 기능을 요청하도록 코딩된 경우 운영 체제 스레드 ID가 Application Server 런타임에서 사용되는 Java™ EE(Java Platform, Enterprise Edition) ID와 동기화가 사용 가능한지 여부를 표시합니다.

운영 체제 ID를 Java EE ID와 동기화하면 운영 체제 ID가 인증된 호출자와 동기화되거나 서블릿 또는 EJB(엔터프라이즈 JavaBeans™) 파일에서 RunAs ID를 대표합니다. 이 동기화 또는 연관은 파일에 대한 액세스와 같은 z/OS 시스템 서비스 요청에 서버 영역 ID가 아닌 호출자 또는 보안 역할 ID가 사용됨을 의미합니다.

이 기능을 활성화하려면 다음 조건이 모두 true여야 합니다.
  • OS로 동기화 스레드 허용이 true입니다.
  • 응용프로그램이 전개 설명자 내에서 com.ibm.websphere.security.SyncToOSThread의 env-entry가 true입니다.
  • 구성된 사용자 계정 저장소가 로컬 운영 체제입니다.

이러한 조건이 참이면 OS 스레드 ID는 처음에는 웹 또는 EJB 요청의 인증된 호출자 ID로 설정됩니다. OS 스레드는 Java EE ID를 수정할 때마다 수정됩니다. Java EE ID는 전개 설명자 또는 프로그램의 WSSubject.doAs() 요청에서 RunAs 스펙을 사용하여 수정할 수 있습니다.

OS 스레드 동기화 허용값이 거짓이면(기본 설정), 설치된 운영프로그램의 전개 설명자에 대한 운영 체제 스레드의 ID를 수정할 수 없게 됩니다. 서버가 동기화를 승인하도록 구성되지 않았고 응용프로그램 전개 설명자 com.ibm.websphere.security.SyncToOSThread가 true로 설정된 경우, EJB가 SyncToOSThread 옵션을 요청하지만 서버가 SyncToOSThread 옵션을 사용할 수 없음을 표시하는 BBOJ0080W 경고 메시지가 발행됩니다.

중요: 이 옵션을 지정하면 보안 감사에 사용되는 SMF 80 레코드의 수가 크게 증가합니다. SMF 80 레코드에 보안 감사가 켜진 경우, 사용되는 DASD의 양이 크게 증가합니다.

연결 관리자 RunAs 스레드 ID 사용 가능

실행 스레드에서 Java EE(Java Platform, Enterprise Edition) ID와 연관된 MVS™ ID를 설정합니다. 로컬 J2CA(Java EE Connector Architecture) 커넥터는 응용프로그램이 연결을 요청할 때 인증 및 권한을 위해 MVS ID를 존중합니다.

이 설정을 사용 가능으로 설정한 경우, 메소드는 Java EE(Java Platform, Enterprise Edition) ID를 반영하도록 운영 체제 ID를 수정하는 요청을 처리할 수 있습니다. 이 기능은 스레드 ID 지원을 활용하려는 경우에 필요합니다. z/OS 시스템에서 로컬 자원에 액세스하는 J2CA(Java EE Connector Architecture) 커넥터는 스레드 ID 지원을 사용할 수 있습니다. 다음 조건이 모두 해당되는 경우, 로컬 z/OS 자원에 액세스하는 J2CA 커넥터 세트는 기본적으로 응용프로그램의 Java EE ID입니다.
  • 자원 인증이 컨테이너 관리로 설정되었습니다(res-auth=container).
  • 응용프로그램을 전개할 때 별명 항목이 코딩되지 않았습니다.
  • 연결 관리자 Sync to OS 스레드 설정이 사용 가능으로 설정되었습니다.

예를 들어, 각 테이블에 대한 사용자의 액세스를 제어하는 기존 DB2® for z/OS 보안 정책이 있는 경우, 사용자가 DB2 for z/OS에 액세스하는 WebSphere® 응용프로그램에 액세스할 때도 해당 정책을 강제 실행하길 원합니다. 연결 관리자 RunAs ID 사용 가능이 선택되면 운영 체제 ID(서버 ID)보다는 Java EE ID(기본적으로 클라이언트 ID)가 DB2 for z/OS에 대한 연결을 확립하는 데 사용됩니다. 응용프로그램을 위한 DB2 for z/OS 테이블 액세스는 기존 DB2 for z/OS 보안 정책을 사용하여 판별됩니다.

스레드 ID 지원을 사용하는 J2CA 커넥터는 스레드 ID를 지원해야 합니다. CICS®(Customer Information Control System), IMS™(Information Management System) 및 DB2(DATABASE 2)는 스레드 ID를 지원합니다. CICS 및 IMS는 대상 CICS 또는 IMS가 z/OS용 Application Server와 동일한 시스템에 구성된 경우에만 스레드 ID를 지원합니다. DB2는 항상 스레드 ID를 지원합니다. 커넥터가 스레드 ID를 지원하지 않는 경우 연결과 연관된 사용자 ID는 특정 커넥터가 지원하는 기본 사용자 ID를 기반으로 합니다.

데이터 유형 부울
기본값 사용 불가능
범위 사용 가능 또는 사용 불가능



표시된(온라인) 링크는 인터넷에 액세스해야 합니다.

관련 개념
관련 태스크
관련 참조
글로벌 보안 설정


파일 이름: usec_zos_globalsec.html