|
|
|
以下のセキュリティ情報を確認します。
OPSLOG WebView サーバは、各クライアントについて、System Authorization Facility(RACF や CA Top Secret など)からセキュリティ環境を取得します。 セキュリティ環境は、各ユーザに対して、特定のアクション(ホスト コマンドの発行など)を実行できるかどうかを制御します。 クライアントのセキュリティ プロファイルを取得するためには、サーバに BPX.SERVER に対する UPDATE アクセス権が必要です。 z/OS 1.7 以降を実行している場合は、サーバに、BPX.CONSOLE に対するアクセス権も必要です。 このようなアクセス権がない場合、サーバは UID=0 として実行する必要があります。
また、Web Server(HTTPD または WebSphere)が、セキュリティ パッケージのプログラムで制御された属性によってセキュリティを保証されているかどうかチェックします。 このようになっている場合は、OPS.CCLXPLD 内にある OPSLOGV プログラム、および OPS.CCLXLOAD 内にある OPMFSB プログラムが、プログラムで制御されるようにする必要があります。 この属性の設定の詳細については、セキュリティ パッケージのドキュメントを参照してください。
認証および暗号化に対して SSL プロトコルを使用して、送信中の OPSLOG WebView データのセキュリティを保証します。
OPSLOGSV スターティッド タスクについて S オプションを指定して、OPSLOG WebView サーバに対して SSL を有効にします。
暗号化されていないすべてのデータ(ただしパスワードは除く)は、OPSLOGSV スターティッド タスクに対して SSL を指定せずに U オプションを指定して伝送します。
OPSLOGSV スターティッド タスクについて、S オプションも U オプションも指定されていない場合は、OPSLOG WebView サーバは、デフォルトでクライアントとサーバの認証をバイパスし、XOR 暗号化スキームを使用して、送信中のデータを暗号化します。
OSFSECURITY に CHECKUSERID が設定されているときに、OPSLOG WebView ユーザがターゲット システム上でコマンドを発行できるようにするには、ターゲット システムでセキュリティ ルールを有効にしておかなければなりません。
セキュリティ ルールがローカル システムで有効になっていない場合は、ローカル システムとリモート システムの両方でデフォルトの権限が適用されます。
OSFSECURITY が CHECKUSERID に設定されており、ローカル システムとリモート システムの両方にセキュリティ ルールが書かれている場合は、OPSLOG WebView ユーザは、リモート システムでセキュリティをチェックする前に、ローカル システムでコマンドを発行する権限を持っている必要があります。 言い換えると、OPSLOG WebView ユーザがリモート システムでコマンドを発行するには、ローカル システムとリモート システムの両方で権限を持っていなければなりません。
注: ターゲット システムでセキュリティ ルールを提供できない場合は、送信されたコマンドは実行されません。DEBUGOSF パラメータの値が ON に設定されない限り、エラーについて何も表示されません。
どのユーザが次の処理を実行できるか指定することにより、セキュリティ ルールを介して OPSLOG WebView から CA OPS/MVS へのアクセスを制御することができます。
OPSLOG へのアクセスを制御するためのセキュリティ ルールが事前に存在しない場合は、デフォルトのセキュリティ権限が適用されます。つまり、OPSLOG WebView からすべてのユーザが OPSLOG を参照できますが、ホスト コマンドを発行することはできません。
OPSLOG メッセージを表示するデフォルトの権限を上書きするには、セキュリティ ルールを作成して、あるユーザ、または複数のユーザが OPSLOG を参照することを許可します。 この権限によりホスト コマンド エリアも使用可能になるため、権限が付与されたユーザは、OPSLOG WebView からホスト コマンドを入力できるようになります。
以下のサンプル ルールでは、allow_users リストのユーザのみが OPSLOG メッセージを参照できるようにします。
)SEC OPSBRW )PROC allow_users = “TSOUSER1 TSOUSER2 TSOUSER3” user = sec.opauusid if WORDPOS(user,allow_users) = 0 then return “reject” else return “accept”
ホスト コマンドを発行するためのデフォルトのセキュリティ制限を上書きするには、あるユーザ、または複数のユーザがホスト コマンドを発行することを許可するセキュリティ ルールを作成します。
以下のサンプル ルールでは、allow_users リストのユーザがホスト コマンドを発行できるようにします。
)SEC OPSCMD )PROC allow_users = “TSOUSER1 TSOUSER2 TSOUSER3” user = sec.opauusid if WORDPOS(user,allow_users) = 0 then return “reject” else return “accept”
配布されたサンプル ルール ライブラリのメンバ SECWEBV1、SECWEBV2、および SECWEBV3 には、このセキュリティを規定する例が用意されています。 詳細、およびセキュリティ アクセスを付与するために必要な手順の一覧については、サンプルを参照してください。
CA OPS/MVS のセキュリティ ルールを使用してこれらの運用上の機能を保護している場合は、これらのサンプルを参照し、既存のルールに取り入れる必要があるロジックの変更を確認します。
OPSLOG WebView セッションを確立する前に、OPSLOG WebView は各ユーザに、ターゲットの z/OS システムに対する正当なユーザ ID とパスワードを使用してログインするよう指示します。 ユーザは、既存の TSO ユーザ ID を使用するか、この目的で新しいユーザ ID を定義するか、選択できます。 必要なのは、そのユーザ ID にターゲット システムにログオンする権限が付与されていることのみです。
注: OPSLOG WebView アクセスが必要なユーザ ID に OMVS セグメントを定義する必要があります。 これらのユーザ ID は、OPSLOGSV STC が実行されているシステムにログオンする必要があります。
| Copyright © 2012 CA. All rights reserved. | このトピックについて CA Technologies に電子メールを送信する |