满足安全要求 › 运行 CA Chorus 安全作业

运行 CA Chorus 安全作业

ETJI095x 安全作业可简化您满足诸多安全要求的方式。安全作业标识为如下格式：ETJI095x，x 等于 A 时表示 CA ACF2，等于 T 时表示 CA Top Secret，等于 R 时表示 IBM RACF。这些作业位于 CA Chorus 产品页面上。

以下列表详细介绍了作业需要满足的安全要求。

重要提示！ 在您继续执行本主题末尾的几个步骤前，请先查看以下概念材料。

（仅 CA Top Secret）主工具

如果您使用的是 CA Top Secret，请定义主工具并将其与 CA Chorus 启动任务关联。将 CAWEBSVR 用作主工具。通过主工具（MASTFAC 关键字），用户可以访问 CAWEBSVR 工具。在工具可用作主工具之前，必须将该工具作为系统工具矩阵中的用户工具定义到 CA Top Secret 中。

重要提示！ 只需执行此任务一次。如果您已将 CAWEBSVR 添加到工具矩阵中且已激活定义，则不重复执行此任务。

然后向 CA Top Secret 工具 CAWEBSVR 授予权限，以便每个用户 ACID 都可以访问 CA Chorus。

管理员用户 ID 和组 ID

使用已定义 UNIX 系统服务 (USS) 段的用户 ID（默认情况下为 CHORADM）运行 CA Chorus，以便满足以下条件：

• 用户 ID 具有一个非 UID(0) 的有效 UID。
• shell 指定为默认 shell，通常为 /bin/sh。
• 用户 ID 具有一个有效的 OMVS 组。

注意：建议主目录与 CA Chorus 安装路径相同。

运行 ETJI095x 作业时，创建了以下安全用户 ID。如果不使用默认值，则更改安全作业中 CHORADM 和 CHORGRP 的所有匹配项。

CHORADM

用于运行 CA Chorus 的启动任务用户 ID。

CHORGRP

默认组名称。此组可创建所有相关安全对象间的关系。

CHORTHD

与应用程序相关的 PassTicket 请求的用户 ID。

注意：唯一 USS UID 和 GID（用户 ID 和组 ID）必须用于 CA Chorus 启动任务用户 ID。选择数值上匹配的 UID 和 GID 以方便跟踪。

重要提示！ 所有用户（包括安装员）必须具有该成员中指定的组的访问权限。默认组为 CHORGRP。

启动任务

运行 ETJI095x 作业时，定义了以下启动任务。显示默认值。如果不要对启动任务使用默认名称，则在安全作业中更改名称。

注意：我们建议所有 CA Chorus 任务都作为带有 REGION=0M 的启动任务运行。如果您的站点限制了 REGION=0M 参数，我们建议您使用允许的最大区域大小运行。

your_muf_name

与 CA Datacom/AD MUF for CA Chorus 关联的启动任务名称。此名称取决于先前分配给 MUF 的名称。

CHORTSF

与 Time Series Facility (TSF) 关联的启动任务名称。

CHORTSFR

与远程 TSF 配置关联的启动任务名称。只有在定义了 TSF 数据中继后，才可以创建该启动任务。

CHORJBOS

与 JBoss 服务器关联的启动任务名称。

资源类

CA Chorus 在使用安全产品定义的 CAMFC 类中定义安全资源。然后根据需要将用户权限分配给特定于管控领域的资源。有关所需用户权限的详细信息，请参阅特定于管控领域的安装指南。

一般用户的 PassTicket

用户要访问 CA Chorus 及其支持的管控领域所使用的 z/OS 组件和产品，需要具有 PassTicket。PassTicket 是临时编码并加密的用户密码替代项，可用于访问特定应用程序。PassTicket 必须在生成之后的 10 分钟内使用。

使用 PassTicket 使 z/OS 组件和产品能够验证用户 ID，而无需通过网络发送 z/OS 密码。相反，在用户使用有效的 z/OS 用户 ID 和密码初次登录之后验证用户。当用户选择用于访问 z/OS 组件的功能时，将发生以下过程：

• CA Chorus Web 服务调用 z/OS 安全产品，以生成用于访问授权的 PassTicket。
• PassTicket 随用户请求一起发送给组件，该组件可能位于不同的 z/OS 系统。

  在处理请求之前，组件调用 z/OS 安全产品，以使用 PassTicket 作为密码替代项来验证用户。

CA Chorus 服务器会生成 PassTicket，它们允许用户访问 CA Chorus 管控领域使用的各种后端产品。当用户访问组件时，将生成 PassTicket 以验证请求。

CA Chorus PassTicket 配置包括以下系统：

• 运行 JBoss 服务器和同一系统中的 CA Chorus 管控领域所需的后端产品（如 CA Detector、CA Compliance Manager、CA Vantage SRM 和 CA NetMaster NM for TCP/IP）的 z/OS 系统。此类型的系统是 CA Chorus 服务器系统。
• 只运行 CA Chorus 管控领域所需的产品和组件的其他 z/OS 系统。此类型的系统称为 CA Chorus 远程系统。

CA Chorus 服务器系统可为 CA Chorus 用户提供入口点。然后，用户可以访问已授权其在 z/OS 系统的网络中使用的所有 CA Chorus 远程系统。

必须在承载 CA Chorus 所用组件的每个 z/OS 系统上进行安全产品的 PassTicket 配置。在 z/OS 安全产品中配置 PassTicket，以允许生成和验证 CA Chorus 管控领域所需的连接。如果站点满足以下条件，则无需在远程系统上执行其他安全设置：

• z/OS 配置中的安全产品正在使用共享安全数据库。
• 您要添加一个或多个远程系统，只需进行 CA Chorus 服务器系统设置。

如果必需产品和组件存在于不共享安全数据库的远程系统中，则需在远程系统中进行其他安全设置。

CA CSM 用户的 PassTicket

CA Chorus 使用 PassTicket 安全来允许用户从快速链接模块启动 CA CSM，而无需其他用户登录。使用 Passticket 的所有系统对于网络中的所有节点必须具有相同的应用程序名称和会话密钥。注意以下要求：

• 如果 CA Chorus 实例和 CA CSM 实例位于不同计算机上，则在运行此作业后，完成“如何为 CA Chorus 配置 CA CSM Passticket”中的适用步骤。
• 如果 CA Chorus 实例和 CA CSM 实例位于相同计算机上，则在运行此作业后，CA CSM passticket 配置会完成，但有一个异常。如果使用的是 CA ACF2，则完成“示例：使用 CA ACF2 将 PassTicket 配置为从 CA Chorus 连接到 CA CSM”中的 CA Chorus 服务器端和 CA CSM 端步骤。

遵循这些步骤:

1. 检索适用于外部安全管理器的 ETJI095x 作业。这些作业位于 CA Chorus 产品页面上。
2. 全面查看成员 ETJI095x。
3. 根据成员注释编辑作业。
4. 提交该成员。

   满足指明的安全要求。

5. （仅 CA Top Secret）将以下行添加到适用的 CA Top Secret 参数文件 (PARMFILE) 中：

   FACILITY(USERxx=NAME=CAWEBSVR)
   FACILITY(CAWEBSVR=PGM=********)
   FACILITY(CAWEBSVR=ACTIVE,SHRPRF,MULTIUSER,AUTHINIT)
   

   xx

   用户工具编号。请使用您系统上的任一可用的用户工具编号。

更多信息：

安全注意事项

安全 ID 重复使用注意事项