z/OS SAF(System Authorization Facility) 권한

이 페이지에서 SAF(System Authorization Facility) 및 SAF 권한 특성을 구성할 수 있습니다.

SAF 권한을 사용하려면 다음을 수행하십시오.
  1. 보안 > 글로벌 보안 > 외부 권한 프로바이더를 클릭하십시오.
  2. 권한 프로바이더의 드롭 다운 목록에서 SAF(System Authorization Facility)를 선택하십시오.
  3. 구성 단추를 클릭하십시오.
SAF 권한을 선택하면, WebSphere® Application Server는 z/OS 보안 제품에 저장된 권한 정책을 권한에 사용합니다. LDAP(Lightweight Access Directory Protocol) 레지스트리 또는 사용자 정의 레지스트리가 구성되고 SAF 권한이 지정된 경우, 보호 메소드를 실행하려면 로그인할 때마다 z/OS® 프린시펄에 맵핑해야 합니다.

인증되지 않은 사용자, SAF 권한 및 SAF EJBROLE 메시지 제한의 공통 특성은 더 이상 사용자 정의 특성이 아닙니다.

이 옵션을 선택하면, WebSphere Application Server는 z/OS 보안 제품에 저장된 권한 정책을 권한에 사용합니다.

인증되지 않은 사용자 ID

SAF 권한이 지정되었거나 로컬 운영 체제 레지스트리가 구성된 경우, 비보호 서블릿 요청을 표시하는 데 사용되는 MVS™ 사용자 ID를 지정합니다. 이 사용자 ID의 길이는 최대 8자여야 합니다.

이 특성 정의는 다음 경우에 사용합니다.
  • 비보호 서블릿이 엔티티 Bean을 호출하는 경우의 권한
  • res-auth=container인 경우 현재 ID에서 사용하는 z/OS 커넥터(CICS®(Customer Information Control System) 또는 IMS™(Information Management System))를 호출하기 위한 비보호 서블릿의 식별
  • 응용프로그램에서 초기화된 Synch 대 OS 스레드 기능이 시도된 경우
자세한 정보는 Information Center에서 다음 문서를 참조하십시오.
  • "OS 스레드에 동기화 허용 응용프로그램 이해"
  • "OS 스레드에 동기화 허용 응용프로그램 사용 시기"
SAF 프로파일 맵퍼

J2EE(Java™ 2 Platform, Enterprise Edition) 역할 이름이 맵핑되는 SAF EJBRole 프로파일의 이름을 지정합니다. 지정한 이름은 com.ibm.websphere.security.SAFRoleMapper 인터페이스를 구현합니다.

자세한 정보는 사용자 정의 SAF EJB 역할 맵퍼 개발의 내용을 참조하십시오.

SAF 위임 사용 가능

사용자가 RunAs 지정 역할을 선택한 경우 활성 ID가 되는 MVS 사용자 ID가 SAF EJBROLE 정의에 지정되도록 지정합니다.

SAF 위임 사용 가능 옵션은 외부 권한 프로바이더로 SAF 권한 사용 가능 옵션을 선택하는 경우에만 선택하십시오.

APPL 프로파일을 사용하여 Application Server에 대한 액세스 제한

APPL 프로파일을 사용하여 WebSphere Application Server에 대한 액세스를 제한합니다.

SAF 프로파일 접두부를 정의한 경우, 사용된 APPL 프로파일은 프로파일 접두부입니다. 그렇지 않으면, APPL 프로파일 이름은 CBS390입니다. WebSphere 서비스를 사용하는 모든 z/OS ID는 APPL 프로파일에 대한 READ 권한이 있어야 합니다. 여기에는 모든 WebSphere Application Server ID, WebSphere Application Server 인증되지 않은 ID, WebSphere Application Server 관리 ID, 역할 대 사용자 맵핑을 기반으로 하는 사용자 ID 및 시스템 사용자의 모든 사용자 ID가 포함됩니다. APPL 클래스가 z/OS 시스템에서 활성화되지 않으면, 이 특성은 값과 관계 없이 영향을 미치지 않습니다.

기본값: 사용 가능.
z/OS 보안 제품의 권한 실패 메시지 억제

ICH408I 메시지를 켤지 여부를 지정합니다. 이 설정의 기본값은 false(선택 취소됨)로, 메시지를 억제하지 않습니다.

SMF(System Management Facility)는 이 새 특성에 지정되는 값과 상관없이 액세스 위반을 기록합니다. 이 특성은 이름 지정 및 관리 서브시스템의 응용프로그램 정의 역할과 Application Server 런타임 정의 역할 모두에 대한 액세스 위반 메시지 생성에 영향을 줍니다. EJBROLE 프로파일 검사는 선언적 검사와 프로그램식 검사 모두에 대해 수행됩니다.
  • 선언적 검사는 웹 응용프로그램에서 보안 제한으로 코딩되고 전개 설명자는 EJB(엔터프라이즈 JavaBeans™) 파일에서 보안 제한으로 코딩됩니다. 이 경우 이 특성은 메시지를 제어하는 데 사용되지 않습니다. 대신 역할 세트가 허용되며, 액세스 위반이 발생한 경우 ICH408I 액세스 위반 메시지가 역할 중 하나에 장애가 있음을 나타냅니다. 그런 다음, SMF는 해당 역할의 단일 액세스 위반을 로깅합니다.
  • 프로그램 로직 검사 또는 액세스 검사는 엔터프라이즈 Bean의 경우 프로그램식 isCallerinRole(x) 메소드 또는 웹 응용프로그램의 경우 isUserInRole(x) 메소드를 사용하여 수행됩니다. SMF 감사 레코드 계획 특성이 ASIS, NOFAIL 또는 NONE으로 설정되면, com.ibm.security.SAF.EJBROLE.Audit.Messages.Suppress 특성은 이 호출로 생성되는 메시지를 제어합니다. SMF 감사 레코드 계획 특성이 Default로 설정되면, 관리 역할의 메시지 제한이 항상 사용 가능합니다.
문제점 방지:
  • 버전 7.0.0.3 이상에서 실행 중이며 SMF 감사 레코드 계획이 Default로 설정된 경우 관리 역할 메시지 제한을 원하지 않으면, com.ibm.security.SAF.EJBROLE.Audit.Messages.Suppress.Admin 특성을 false로 설정하십시오. 이 특성에 지정된 값은 관리 역할의 메시지 제한을 관리하는 다른 설정을 대체합니다.
  • Tivoli Access Manager 또는 z/OS용 SAF 등과 같은 써드파티 권한을 사용하는 경우, 관리 콘솔 패널의 정보가 프로바이더의 데이터를 나타내지 않을 수 있습니다. 또한 패널의 모든 변경사항이 자동으로 프로바이더에 반영되지 않을 수 있습니다. 프로바이더의 지시사항에 따라 프로바이더의 모든 변경사항을 전달하십시오.
gotcha

SAF 권한에 대한 자세한 내용은 Information Center의 "로컬 OS 레지스트리 사용 시 콘솔 사용자로의 액세스 제어"를 참조하십시오. 관리 역할에 대한 자세한 내용은 Information Center의 "관리 역할"을 참조하십시오.

기본값: 사용 불가능(메시지를 표시하지 않음)
SMF 감사 레코드 계획

감사 레코드를 SMF(System Management Facility)에 기록할 시점을 판별합니다. 각각의 권한 호출에서 RACF® 또는 동등한 SAF 기반 제품은 감사 레코드를 권한 검사 결과와 함께 SMF에 기록할 수 있습니다.

z/OS용 WebSphere Application Server는 SAF RACROUTE AUTH 및 RACROUTE FASTAUTH 조작을 사용하며 보안 구성에 지정된 LOG 옵션을 전달합니다. 옵션은 DEFAULT, ASIS, NOFAIL 및 NONE입니다.

다음 옵션은 드롭 다운 목록에서 사용할 수 있습니다.
DEFAULT

사용자가 일련의 역할 중 하나여야 하는 등의 다중 역할 제한조건을 지정할 경우, 마지막 역할을 제외한 모든 역할을 NOFAIL 옵션으로 검사해야 합니다. 마지막 역할 이전 역할 중 하나에 권한을 부여하면, WebSphere Application Server가 권한 부여 성공 레코드를 작성합니다. 해당 역할에서 권한 부여가 성공하지 않을 경우, ASIS 로그 옵션으로 마지막 역할을 검사합니다. 사용자에게 마지막 역할에 권한이 부여된 경우, 성공 레코드를 작성할 수 있습니다. 사용자에게 권한이 부여되지 않은 경우, 실패 레코드를 작성할 수 있습니다.

ASIS
자원을 보호하는 프로파일에 지정된 방법으로 또는 SETROPTS 옵션에 의해 지정된 방법으로 감사 이벤트가 기록되도록 지정합니다.
NOFAIL
장애를 기록하지 않도록 지정합니다. 권한 부여 실패 메시지는 발행되지 않지만, 권한 부여 성공 감사 레코드를 작성할 수도 있습니다.
NONE
성공 또는 실패를 기록하지 않도록 지정합니다.

몇 개의 SAF 권한 부여 호출을 수행한 경우에도 실패한 J2EE 권한 검사에 대해 하나의 권한 부여 실패 레코드만을 작성합니다. SAF RACROUTE AUTH 및 RACROUTE FASTAUTH의 LOG 옵션에 대한 자세한 정보는 RACF 또는 동등한 SAF 기반 제품 문서를 참조하십시오.

SAF 프로파일 접두부

Java EE 역할에 사용되는 모든 SAF EJBROLE 프로파일 앞에 추가될 접두부를 지정합니다. 또한 이 접두부는 APPL 프로파일 이름으로 사용되며 CBIND 점검에 사용되는 프로파일 이름에 삽입됩니다. SAF 프로파일 접두부 필드에 대한 기본값이 없습니다. 접두부가 명시적으로으로 지정되지 않으면, 접두부는 SAF EJBROLE 프로파일에 추가되지 않고 CBS390의 기본값은 APPL 프로파일 이름으로 사용되며 CBIND 점검에 사용되는 프로파일 이름에 아무것도 삽입되지 않습니다.

APPL 프로파일을 사용하여 WebSphere Application Server에 대한 액세스를 제한합니다.

SAF 프로파일 접두부를 정의한 경우, 사용된 APPL 프로파일은 프로파일 접두부입니다. 그렇지 않으면, APPL 프로파일 이름은 CBS390입니다. WebSphere 서비스를 사용하는 모든 z/OS ID는 APPL 프로파일에 대한 READ 권한이 있어야 합니다. 여기에는 모든 WebSphere Application Server ID, WebSphere Application Server 인증되지 않은 ID, WebSphere Application Server 관리 ID, 역할 대 사용자 맵핑을 기반으로 하는 사용자 ID 및 시스템 사용자의 모든 사용자 ID가 포함됩니다. APPL 클래스가 z/OS 시스템에서 활성화되지 않으면, 이 특성은 값과 관계 없이 영향을 미치지 않음에 유의하십시오.

주: SAF 프로파일 접두부는 security.xml 파일의 com.ibm.security.SAF.profilePrefix.name 특성에 해당합니다.



표시된(온라인) 링크는 인터넷에 액세스해야 합니다.

관련 개념
관련 태스크
관련 참조


파일 이름: usec_safpropszos.html