Developer for z/OS 的安全考量

本主題強調您可能會遇到此應用程式的部分安全限制。若要協助確保安裝的安全，請自訂安全設定並設定使用者存取控制。

在安裝程序期間啟用安全

Developer for z/OS® 的安全配置在 IBM Developer for z/OS 主機配置手冊 (SC27-9933)的安全定義章節中說明。如需所有安全層面的詳細資料，請參閱 IBM Developer for z/OS Host Configuration Reference Guide (SC27-9934)的 Security considerations 一章。

Developer for z/OS的安全考量:

安裝 Developer for z/OS 會導致基本配置具有基本安全設定的預設值。額外的配置作業（例如，配置 SSL）可以讓您獲得更嚴密的控制。本資訊在 IBM Developer for z/OS Host Configuration Reference Guide (SC27-9934)的 Security considerations 一章中有詳細說明。
附註: 在安裝程序期間未完全啟用安全，在安裝完成之後，必須在自訂作業期間啟用安全。必須完成部分安全相關層面的自訂作業，產品才能運作，並啟用某些安全特性。這項限制適用於無聲自動安裝。
主機上 Developer for z/OS 的安全是透過 Developer for z/OS 配置檔和 RACF ® 指令 (或其他類似安全產品) 的組合來配置。
當使用 Developer for z/OS 主機作為 LDAP 用戶端，以存取客戶特定的 LDAP 伺服器來取得用來施行所需用戶端行為的群組成員資格資訊時， Developer for z/OS 不提供登入選項。當 Developer for z/OS 主機用作存取公用 CRL (憑證撤銷清冊) 的 LDAP 用戶端時，可以在配置檔中提供 LDAP 登入資訊。
Developer for z/OS 資料庫鑑別的安全是透過 RACF 指令來啟用。
如需設定 SSL 及安裝自訂憑證的相關資訊，請參閱 IBM Developer for z/OS 主機配置手冊 (SC27-9933)的 (選用) 其他自訂作業一章中的 (選用) ssl.properties， RSE SSL 加密。另請參閱 IBM Developer for z/OS Host Configuration Reference Guide (SC27-9934)中的附錄 Setting up SSL and X.509 authentication 。
如需在用戶端與伺服器或 Web 用戶端與伺服器之間啟用安全的相關資訊，請參閱 IBM Developer for z/OS Host Configuration Reference Guide (SC27-9934)中的 Understanding Developer for z/OS 一章中的 Connection flow 。
若要配置與 Developer for z/OS (Db2® Connect、Debug Tool、Fault Analyzer、 File Manager) 通訊之其他應用程式的安全設定，請使用這些產品中提供的安全配置選項。
若要驗證您已正確配置安全設定，請參閱 IBM Developer for z/OS 主機配置手冊 (SC27-9933)的安全定義一章中的驗證安全設定。
相關資訊：
- 若要將 RSE 伺服器配置成使用 SSL 鑑別來進行伺服器與其用戶端之間的連線，請參閱 IBM Developer for z/OS RSE Server 安裝手冊: Linux® on z Systems ® (GC27-2810)。
- 使用「企業服務工具」中的主機連線，您可以設定與遠端 z/OS 系統的終端機階段作業。您可以將階段作業配置為使用 SSL、用戶端鑑別及主機鑑別。
  您可以使用 IBM® Key Management 工具 iKeyman 來建立金鑰資料庫檔、建立或要求憑證，以及匯入和匯出憑證。
附註: Developer for z/OS 也會使用 REXEC 或更安全的 SSH 來編譯 UNIX ® System Services 專案。如需相關資訊，請參閱 IBM Developer for z/OS 主機配置手冊 (SC27-9933)中 (選用) 其他自訂作業一章中的 (選用) z/OS UNIX 子專案。

在多個應用程式之間啟用安全通訊

對於整合產品， Developer for z/OS 透過使用 Developer for z/OS 工具的 Developer for z/OS 通訊配置，為產品之間的通訊提供安全。通訊僅限於主機，因此沒有加密。

為了處理 Developer for z/OS中產品之間的使用者存取控制，接收端應用程式 (例如 JMON) 需要鑑別，由呼叫端應用程式 (RSE) 代表使用者完成。可能的話 (例如， JMON 或 CARMA) ， Developer for z/OS 只會連結至迴圈堆疊，只能從相同系統呼叫到該堆疊。

對於單一登入，使用者會向 RSE 鑑別。然後 RSE 代表使用者針對其他伺服器進行鑑別。當使用者停留在 Developer for z/OS內時，它看起來都像一部伺服器，但其他伺服器卻沒有這種狀況。使用者必須手動鑑別 Developer for z/OS外部的其他伺服器。

埠、通訊協定及服務

Developer for z/OS 內部處理程序、作業或服務不需要固定使用者 ID。您可以為這些程序、作業或服務建立您自己的使用者 ID ，並使用 RACF 指令將使用者 ID 與它們相關聯。如需 Developer for z/OS 使用哪些埠、通訊協定及服務的相關資訊，請參閱 IBM Developer for z/OS 主機配置參考手冊 (SC27-9934)中 IBM Developer for z/OS 主機配置手冊 (SC27-9933) 及 TCPIP 考量的所需資源一章中的規劃。

您必須先定義遠端系統的連線並指定連線內容，才能從 Developer for z/OS 用戶端連接至遠端系統。如需連接至遠端系統以及用於連線的埠的相關資訊，請參閱建立與 z/OS 系統的連線。

自訂安全設定

IBM Developer for z/OS Host Configuration Reference Guide (SC27-9934)中的 Security considerations 涵蓋了自訂安全設定。如需設定和變更密碼以及用戶端憑證鑑別的相關資訊，請參閱：

附註: Developer for z/OS 會使用產生的 PassTickets ，且不會在主機上儲存密碼。「遠端連線模擬器 (RCE)」會將 SSL 相關密碼儲存在 Eclipse Secure Storage 中。如需相關資訊，請參閱 Eclipse 說明文件中的安全儲存體。具有 *** 的用戶端遮罩密碼欄位，以及用戶端在登入期間所提供的密碼，一律以遮罩格式傳輸，即使是 SSL 加密通訊亦如此。

若要啟用多個安全等級，以及判定每一個安全等級的含意，請參閱「主機配置」文件中關於安全的各個章節。每一章都會說明特定的安全配置層面。

Developer for z/OS 依賴 TCP/IP 提供的選項來設定安全侵害或嘗試的通知。

附註: 登入嘗試的相關資訊儲存在 Developer for z/OS 伺服器日誌及各種其他地方 (例如，伺服器日誌、使用者日誌、審核日誌、syslog)。

設定使用者角色和存取

RACF 指令用於下列用途:

建立及刪除使用者並設定其存取層次。
建立群組及對其指派專用權。
為使用者建立密碼規則（例如，不重複使用、長度下限或字元需求）。
設定超級使用者 ID 或具有特殊安全專用權的 ID。

如需 RACF 的相關資訊，請參閱 Security Server RACF Security Administrator 's Guide ， SA23-2289。

隱私權原則考量

本軟體供應項目不會使用 Cookie 或其他技術來收集個人識別資訊。