예제: RACF를 사용한 CA Chorus for DB2 Database Management PassTicket 구성

보안 요구 사항 설명 › PassTicket 구성 › 예제: RACF를 사용한 CA Chorus for DB2 Database Management PassTicket 구성

예제: RACF를 사용한 CA Chorus for DB2 Database Management PassTicket 구성

IBM RACF를 사용하여 CA Chorus 서버 및 원격 시스템에 대해 PassTicket을 구성할 수 있습니다. CA Chorus 서버 및 원격 시스템은 PassTicket 구성에 설명되어 있습니다.

참고: 이러한 예제는 참조용으로 제공됩니다. PassTicket 구성에 대해 잘 아는 보안 관리자만 이 과정을 실행해야 합니다. 명령 사용에 대한 자세한 내용은 IBM RACF 제품 설명서를 참조하십시오.

참고: Passticket 구성을 시작하기 전에 PassTicket 리소스 IRRPTAUTH의 PTKTDATA 클래스 및 소유권이 정의되어 있지 않아야 합니다. 클래스 및 소유권이 정의된 경우 다음 절차에서 1 단계 및 2 단계를 건너뛰십시오.

예: IBM RACF를 사용하여 CA Chorus 서버 시스템에 대한 PassTicket 구성

다음 단계를 따르십시오.

다음 명령을 입력하여 DB2TOOLS 응용 프로그램을 정의합니다.
```
RDEFINE APPL DB2TOOLS UACC(NONE)
SETROPTS CLASSACT(APPL)
```
참고: 일반 사용자 ID를 구현하려면 다음과 같은 추가 명령을 지정하십시오.
```
SETROPTS GENERIC(PTKTDATA)
```
현재 활성화되지 않은 경우 PassTicket 클래스를 활성화합니다.
```
SETROPTS CLASSACT(PTKTDATA) RACLIST(PTKTDATA)
```
응용 프로그램에 대한 프로필을 정의하고 세션 키를 지정합니다.
```
RDEFINE PTKTDATA DB2TOOLS SSIGNON(KEYMASKED(FEDCBA9876543210)) APPLDATA('NO REPLAY PROTECTION')
RDEFINE PTKTDATA CHORWEBS SSIGNON(KEYMASKED(0123456789ABCDEF)) APPLDATA('NO REPLAY PROTECTION')
```
DB2TOOLS 및 CHORWEBS
PassTicket의 유효성을 검사하는 데 사용하는 응용 프로그램 ID를 정의합니다. DB2TOOLS 및 CHORWEBS가 기본 응용 프로그램 ID입니다.
- CA Chorus UI 및 "Quick Links"(빠른 링크) 모듈에서 DB2TOOLS는 CA Database Management Solutions for DB2 for z/OS에 대한 CA Chorus for DB2 Database Management 사용자 액세스를 인증합니다.
- CA Chorus Investigator에서 CHORWEBS는 Object Migrator 기능(마이그레이션)에 대한 CA Chorus for DB2 Database Management 사용자 액세스를 인증합니다. 이 응용 프로그램 ID 및 세션 키는 CA Chorus 플랫폼 PassTicket 구성 중에 이미 정의되었을 수 있습니다.
  중요! KEYMASKED는 16진수 16자리(8바이트 또는 64비트 키 생성)를 사용하는 암호화 키를 정의합니다. 이 값은 예시일 뿐입니다. 사이트별 키 값을 사용하십시오. 각 키는 구성하는 모든 시스템에서 동일해야 합니다.
프로필 및 세션 키가 정의되었습니다.
프로필을 정의하고 CA Database Management Solutions for DB2 for z/OS에 액세스가 허용된 각 사용자에 대해 DB2TOOLS PassTicket 세션 키 값에 대한 액세스를 허용합니다.
```
RDEFINE PTKTDATA IRRPTAUTH.DB2TOOLS.* UACC(NONE)
PERMIT IRRPTAUTH.DB2TOOLS.* ID(stc-userid) CLASS(PTKTDATA) ACCESS(UPDATE)
```
stc-userid
your_chorus_hlq.CETJJCL의 ETJI095x에 생성된 시작된 작업 사용자 ID를 지정합니다. 이 ID는 모든 사용자에 대해 PassTicket을 생성할 수 있어야 합니다. 기본값: CHORADM. 이 사용자는 CHORWEBS PassTicket에 대한 액세스가 필요합니다.

또한 CA Chorus for DB2 Database Management 기능에 대한 그룹을 만들 수도 있습니다. 예:
```
ADDGROUP ETJDB2GR
CONNECT CHORUSR1 GROUP(ETJDB2GR)
CONNECT CHORUSR2 GROUP(ETJDB2GR)
...
CONNECT CHORUSRN GROUP(ETJDB2GR)

RDEFINE PTKTDATA IRRPTAUTH.DB2TOOLS.ETJDB2GR OWNER(stc-userid) UACC(NONE)
PERMIT IRRPTAUTH.DB2TOOLS.ETJDB2GR ID(stc-user) AC(UPDATE) CLASS(PTKTDATA)
```
이 예제에서 ETJDB2GR는 CA Chorus for DB2 Database Management 사용자에 대한 그룹을 정의하고, CHORUSRx는 그룹에 대한 특정 사용자를 정의하고, RDEFINE 명령은 그룹 구성원에 대해 PassTicket을 생성할 수 있는 리소스를 정의하고, PERMIT 명령은 JBoss 서버 사용자가 사용자 그룹에 대한 DB2TOOLS에 PassTicket을 생성할 수 있게 합니다.
CA Database Management Solutions for DB2 for z/OS에 액세스가 허용된 각 CA Chorus for DB2 Database Management 사용자에 대해 DB2TOOLS 응용 프로그램에 대한 액세스를 허용합니다.
```
PERMIT DB2TOOLS CLASS(APPL) ID(stc-userid) ACCESS(READ)
PERMIT DB2TOOLS CLASS(APPL) ID(useridn)
```
useridn

액세스를 요구하는 사용자 ID를 지정합니다.
CHORWEBS 응용 프로그램을 정의합니다.
```
RDEFINE APPL CHORWEBS UACC(READ)
SETROPTS CLASSACT(APPL)
```
참고: 이 단계는 CA Chorus 설치에서 PassTicket 구성 중 수행되었을 수 있습니다.
프로필을 정의하고 CA Chorus for DB2 Database Management의 Object Migrator 기능에 액세스가 허용된 각 사용자에 대해 CHORWEBS PassTicket 세션 키 값에 대한 액세스를 허용합니다.
```
RDEFINE PTKTDATA IRRPTAUTH.CHORWEBS.* UACC(NONE)
PERMIT IRRPTAUTH.CHORWEBS.* CLASS(PTKTDATA) ID(stc-userid) ACCESS(UPDATE)
```
stc-userid

CA Chorus 사용자 ID 만들기에서 만든 시작된 작업 사용자 ID를 의미합니다. 이 사용자 ID는 모든 사용자에 대해 PassTicket을 생성할 수 있어야 합니다.

참고: 이 단계는 CA Chorus 설치에서 PassTicket 구성 중 수행되었을 수 있습니다.
Object Migrator 시작된 작업 ID에 대한 CHORWEBS PassTicket 세션 키 값에 대한 액세스를 허용합니다.
```
PERMIT IRRPTAUTH.CHORWEBS.* CLASS(PTKTDATA) ID(ofa-stc-userid) ACCESS(UPDATE)
```
ofa-stc-userid

Object Migrator 기능에 사용되는 OFA(Object Framework Services Agent) 시작된 작업(기본적으로 OFAPROC)과 관련된 사용자 ID를 지정합니다. 이 시작된 작업은 CA Database Management Solutions for DB2 for z/OS 구현 안내서에 설명된 대로 OFA(OFS Agent) 구성 도중 생성됩니다. CA Chorus for DB2 Database Management의 경우 설치 후 추가 구성이 필요합니다. 이 구성은 CA Chorus Manual Configuration Guide(CA Chorus 수동 구성 안내서)를 참조하십시오.
프로필을 정의하고 Object Migrator 기능에 액세스가 허용된 각 사용자에 대해 CHORWEBS PassTicket 세션 키 값에 대한 액세스를 허용합니다.
```
RDEFINE PTKTDATA IRRPTAUTH.CHORWEBS.useridn UACC(NONE)
PERMIT IRRPTAUTH.CHORWEBS.useridn CLASS(PTKTDATA) ID(useridn) ACCESS(UPDATE)
```
CHORWEBS 응용 프로그램에 대한 액세스를 허용합니다.
```
PERMIT CHORWEBS CLASS(APPL) ID(stc-userid) ACCESS(READ)
PERMIT CHORWEBS CLASS(APPL) ID(useridn)
```
참고: 이 단계는 CA Chorus 설치에서 PassTicket 구성 중 수행되었을 수 있습니다.
다음 명령을 사용하여 APPL 클래스와 PTKTDATA 클래스를 새로 고칩니다.
```
SETROPTS RACLIST(APPL) REFRESH
SETROPTS RACLIST(PTKTDATA) REFRESH
```

예: IBM RACF를 사용하여 CA Chorus 원격 시스템에 대한 PassTicket 구성

다음 단계를 따르십시오.

다음 명령을 입력하여 DB2TOOLS 응용 프로그램을 정의합니다.
```
RDEFINE APPL DB2TOOLS UACC(NONE)
SETROPTS CLASSACT(APPL)
```
다음 명령을 입력하여 PassTicket 클래스를 활성화합니다.
```
SETROPTS CLASSACT(PTKTDATA) RACLIST(PTKTDATA)
```

다음 명령을 입력하여 응용 프로그램에 대한 프로필을 정의하고 세션 키를 지정합니다.

RDEFINE PTKTDATA DB2TOOLS SSIGNON(KEYMASKED(FEDCBA9876543210)) APPLDATA('NO REPLAY PROTECTION')
RDEFINE PTKTDATA CHORWEBS SSIGNON(KEYMASKED(0123456789ABCDEF)) APPLDATA('NO REPLAY PROTEcTION')

세션 키가 정의되었습니다.

CA Database Management Solutions for DB2 for z/OS에 액세스가 허용된 각 사용자에 대해 DB2TOOLS 응용 프로그램에 대한 액세스를 허용합니다.

PERMIT DB2TOOLS CLASS(APPL) ID(stc-userid) ACCESS(READ)
PERMIT DB2TOOLS CLASS(APPL) ID(userid1)
PERMIT DB2TOOLS CLASS(APPL) ID(userid2)
 ...
PERMIT DB2TOOLS CLASS(APPL) ID(useridn)

Object Migrator 시작된 작업에 대한 CHORWEBS PassTicket 세션 키 값에 대한 액세스를 허용합니다.

RDEFINE PTKTDATA IRRPTAUTH.CHORWEBS.* UACC(NONE)
PERMIT IRRPTAUTH.CHORWEBS.* CLASS(PTKTDATA) ID(ofa-stc-userid) ACCESS(UPDATE)

Object Migrator 기능에 액세스가 허용된 각 CA Chorus for DB2 Database Management 사용자에 대해 CHORWEBS PassTicket 세션 키 값에 대한 액세스를 허용합니다.
```
RDEFINE PTKTDATA IRRPTAUTH.CHORWEBS.userid UACC(NONE)
PERMIT IRRPTAUTH.CHORWEBS.userid CLASS(PTKTDATA) ID(userid) ACCESS(UPDATE)
```

APPL 및 PTKTDATA 클래스를 새로 고칩니다.

SETROPTS RACLIST(APPL) REFRESH
SETROPTS RACLIST(PTKTDATA) REFRESH