z/OS での SAF レジストリーのアクティブ化および構成

System Authorization Facility (SAF) レジストリーは、セキュリティー関連の機能 (ユーザーの認証、ユーザー、グループ、またはユーザーに関連付けられたグループに関する情報の取得など) を実行するために必要な情報を保持します。 SAF レジストリーをアクティブ化して構成するには、構成ファイル server.xmlを使用します。 さらに、SAF 許可を使用するように Liberty サーバーを構成できます。

1. SAF ユーザー・レジストリーをアクティブ化します。
   zosSecurity-1.0 フィーチャーを server.xml ファイルに追加します。

   <feature>zosSecurity-1.0</feature>

   注: デフォルトでは、SAF ユーザー・レジストリーは、__passwd などの無許可の UNIX システム・サービスを使用して認証を実行します。
2. パフォーマンス向上のため、SAF ユーザー・レジストリーを構成し、SAFCRED リソースの構成によって initACEE などの許可サービスを使用して認証を実行するようにします。 詳しくは、 Enabling z/OS authorized services on Liberty for z/OSを参照してください。
3. フィーチャー appSecurity-3.0を、Web アプリケーションの servlet-3.0 フィーチャーまたは EJB アプリケーションの ejbLite-3.1 フィーチャーとともに追加することにより、アプリケーション・セキュリティーを使用可能にします。

   <feature>zosSecurity-1.0</feature>
   <feature>appSecurity-3.0</feature>
   <feature>servlet-3.0</feature>
   <feature>ejbLite-3.1</feature>

4. server.xml ファイルに safRegistry エレメントを追加して、SAF レジストリーを構成します。

   <safRegistry realm="myrealm" />

   safRegistry エレメントには以下の属性があります。

   enableFailover

   サーバーが WebSphere Application Server Liberty プロファイル (WLP) z/OS システム・セキュリティー・アクセス・ドメインにアクセスできない場合、許可 SAF サービス (initACEE など) から無許可 USS (例えば、__passwd など) へのフェイルオーバーを使用可能にします。

   領域

   SAF レジストリーに関連付けられたレルム。 レルムを指定しなかった場合は、デフォルトはシスプレックス名 (ECVTSPLX) です。 サーバーが SAFCRED リソースを使用する権限を備えている場合は、デフォルト・レルムは、REALM クラスの SAFDFLT プロファイルにある APPLDATA フィールドを抽出することで、SAF 製品から読み取られます。 このフィールドが空の場合は、デフォルト・レルムが使用されます。