WebSphere Application Server for z/OS リソースへのアクセスを制御するには、以下のようにします。
- 一般的に、コントローラーに与える権限は大きくし、サーバントに与える権限は小さくします。
表 1. トラスト・レベルと領域の権限
領域 |
トラスト・レベルとアクセス権限
|
コントローラー
|
注:
- WebSphere Application Server for z/OS システム・コードを含みます。
- 信頼されており、APF 許可を実行します。
- SAF クライアント ID の通信ポートおよび操作を含みます。
|
サーバント
|
注:
- WebSphere Application Server for z/OS システム・コード、アプリケーション・コード、
およびプラグ可能サービス・プロバイダー (JDBC Driver など) を含みます。
- Java 2 Security をサポートし、機密データおよびシステム・サービスを保護します。
- 信頼できない
|
- WebSphere Application Server for z/OS ランタイム・クラスターに関しては、下の表で説明するとおり、
一般的にロケーション・サービス・デーモンにはより少ない権限を与え、
ノードに対してはより大きい権限を与えます。
表 2. WebSphere Application Server for z/OS ランタイム・クラスター制御
およびサーバントへの権限の割り当て
ランタイム・クラスター
|
領域 |
必要権限
|
ロケーション・サービス・デーモン
|
制御 |
- STARTED クラス
- 作業負荷マネージャー (WLM) サービスへのアクセス
- DNS へのアクセス
- 他のクラスターに対して START、STOP、CANCEL、FORCE、および MODIFY を実行する OPERCMDS アクセス
- FACILITY (SSL) の IRR.DIGTCERT.LIST および IRR.DIGCERT.LISTRING
|
ノード |
制御 |
STARTED クラス
|
コントローラー |
制御 |
- SSL
- Kerberos
- SERVER クラスへの READ 権限
- 他のサーバーに対して START、STOP、CANCEL、FORCE、および MODIFY を実行する OPERCMDS アクセス
|
Servant |
制御 |
次のクラス:
- OTMA
- SERVER
- DSNR,
- DATASET
- SURROGATE
- STARTED
- LOGSTREEAM
|
- 忘れずに Resource Recovery Services (RRS) ログ・ストリームをプロテクトしてください。
デフォルトでは、UACC は READ です。
- WebSphere Application Server for z/OS プロパティー XML ファイルは、
特にそこにパスワードが含まれている場合はプロテクトしてください。
詳しくは、管理コンソールまたは資料の WebSphere Application Server 変数を参照してください。
- デプロイメント・マネージャーには、サーバーを開始および停止するための許可も必要です。