Autorizace systémového ověřovacího zařízení systému z/OS

Prostřednictvím této stránky můžete konfigurovat zařízení SAF (System Authorization Facility) a vlastnosti autorizace SAF.

Chcete-li povolit autorizaci SAF, postupujte takto:
  1. Klepněte na volbu Zabezpečení > Globální zabezpečení > Externí poskytovatel autorizace.
  2. Klepněte na přepínač SAF (System Authorization Facility).
  3. Chcete-li konfigurovat volby konfigurace SAF, klepněte na volbu Volby autorizace SAF. Volby autorizace SAF jsou určeny pro neověřené uživatele a pro potlačení zprávy SAF EJBROLE.

Společné vlastnosti pro neověřeného uživatele, autorizaci SAF a potlačení zpráv SAF EJBROLE již nejsou přizpůsobené vlastnosti.

Karta Konfigurace

Ověřené jméno uživatele

Určuje jméno uživatele systému MVS použité k reprezentaci požadavků na nechráněné servlety v případě, že je nastavena autorizace SAF nebo že je konfigurován registr lokálního operačního systému. Maximální délka tohoto jména uživatele je 8 znaků.

Tato definice vlastnosti se používá v následujících instancích:
  • Pro autorizaci, ve které nechráněný servlet vyvolává objekt entity bean
  • Pro identifikaci nechráněného servletu pro vyvolání konektoru z/OS, například CICS (Customer Information Control System) nebo IMS (Information Management System), který používá aktuální identitu, když platí res-auth=container
  • Když dojde k pokusu o spuštění funkce synchronizace pro podproces OS, iniciované aplikací
Podrobnější informace najdete v následujících odstavcích v informačním centru:
  • "Pochopení aplikace Synchronizace pro podproces OS povolena"
  • "Kdy použít aplikaci Synchronizace pro podproces OS povolena"
Mapovač profilů SAF

Určuje název profilu SAF EJBRole, na který je mapován název role prostředí J2EE (Java 2 Platform, Enterprise Edition). Název, který určíte, implementuje rozhraní com.ibm.websphere.security.SAFRoleMapper.

Další informace naleznete v dokumentu Developing a custom SAF EJB role mapper.

Autorizace

Určuje, že k autorizaci uživatelů pro role u aplikací J2EE (Java 2 Platform, Enterprise Edition) i u autorizačních požadavků založených na rolích (požadavky na pojmenovávání a administraci) asociovaných s běhovou komponentou aplikačního serveru budou použity profily SAF EJBROLE.

Pokud je konfigurován registr protokolu LADP (Lightweight Access Directory Protocol) nebo vlastní registr a zadána autorizace SAF, je při každém přihlášení pro každou chráněnou metodu vyžadováno spuštění mapování na činitele z/OS:
  • Pokud se používá mechanizmus ověřování LTPA (Lightweight Third Party Authentication), doporučuje se za účelem začlenění mapování na platného činitele systému z/OS aktualizovat všechny následující položky konfigurace (například WEB_INBOUND, RMI_INBOUND a DEFAULT).
  • Pokud je mechanismem ověřování SWAM (Simple WebSphere Authentication Mechanism), musíte aktualizovat položky konfigurace SWAM, aby bylo zahrnuto mapování na platného činitele z/OS.
Povolit delegování SAF

Určuje, že definicím profilů SAF EJBROLE je přiřazena identita uživatele systému MVS, která se stane aktivní identitou v okamžiku, kdy je vybrána role určená podprocesem RunAs.

Volbu Povolit delegování SAF vyberte pouze tehdy, když jste jako externího poskytovatele autorizace vybrali volbu Povolit autorizaci SAF.

Potlačit zprávy auditu RACF EJBRole

Určuje, zda je generování zpráv ICH408I zapnuto nebo vypnuto.

Prostředí SMF (System Management Facility) zaznamenává porušení přístupu bez ohledu na hodnotu, která je určena pro novou vlastnost. Tato vlastnost ovlivňuje generování zpráv porušení přístupu pro role definované aplikacemi i pro role definované běhovými komponentami aplikačního serveru u subsystémů pojmenovávání a správních subsystémů. Kontroly profilů EJBROLE se provádějí jak u deklarativních, tak programových kontrol:
  • Deklarativní kontroly se kódují jako omezení zabezpečení ve webových aplikacích, zatímco deskriptory zavedení se kódují jako omezení zabezpečení v souborech objektů EJB (Enterprise JavaBeans). Tato vlastnost není v tomto případě používána k řízení zpráv. Namísto toho je povolena sada rolí a v případě, že dojde k porušení přístupu, zpráva porušení přístupu ICH408I označuje selhání pro jednu z těchto rolí. Prostředí SMF potom zaznamená do protokolu jedno porušení přístupu pro tuto roli.
  • Kontroly logiky programu nebo kontroly přístupu se provádějí s využitím programovací metody isCallerinRole(x) pro objekty enterprise bean nebo metody isUserInRole(x) u webových aplikací. Metody, které jsou generovány tímto voláním, řídí vlastnost com.ibm.security.SAF.EJBROLE.Audit.Messages.Suppress.

Podrobné informace o autorizaci SAF naleznete v tématu "Řízení přístupu k uživatelům konzoly při použití registru lokálního OS" v informačním centru. Další informace o rolích pro správu najdete v tématu "Role pro správu" v informačním centru.

Poznámka: Pokud je použito ověřování třetí strany, jako například správce Tivoli Access Manager nebo SAF for z/OS, informace v panelu konzoly pro správu nemusejí reprezentovat data poskytovatele. Navíc změny provedené na panelu nemusí automaticky ovlivnit poskytovatele. Chcete-li rozšířit libovolné změny provedené v poskytovateli, postupujte podle pokynů poskytovatele.
Výchozí hodnota: Zakázáno, což nepotlačuje zprávy.
Strategie záznamů auditu SMF

Určuje, kdy se záznam auditu zapisuje do SMF (System Management Facility). Při každém volání autorizace může systém RACF nebo ekvivalentní produkt pracující na základě standardu SAF zapisovat záznam auditu do prostředku SMF. Výsledkem bude kontrola autorizace.

Produkt WebSphere Application Server pro z/OS využívá operace SAF RACROUTE AUTH a RACROUTE FASTAUTH a předává volbu LOG, která je určena v konfiguraci zabezpečení. Volby jsou DEFAULT, ASIS, NOFAIL a NONE.

K dispozici jsou následující volby:
DEFAULT

Když je určeno více omezení role, například když uživatel musí být obsažen v jedné ze sad rolí, všechny role s výjimkou poslední role se kontrolují s volbou NOFAIL. Je-li v jedné z rolí před poslední rolí udělena autorizace, produkt WebSphere Application Server zapíše záznam úspěšné autorizace. Není-li autorizace v těchto rolích úspěšná, poslední role se kontroluje s volbou ASIS. Pokud je uživatel autorizován k poslední roli, může být zapsán záznam úspěchu. Pokud uživatel autorizován není, může být zapsán záznam selhání.

ASIS
Určuje, že jsou sledované události zaznamenávány způsobem, který je určen v profilu, který zabezpečuje prostředek, nebo způsobem, který je určen volbami SETROPTS.
NOFAIL
Určuje, že selhání nejsou zaznamenávána. Zprávy nezdařených autorizací se nevydávají, ale mohou být zapisovány záznamy auditu o úspěšné autorizaci.
NONE
Určuje, že se nezapisují ani úspěchy ani selhání.

U kontroly nezdařené autorizace J2EE se zapisuje pouze jeden záznam nezdařené autorizace i v případě, že se provede několik volání autorizace SAF. Další informace o volbách LOG pro SAF RACROUTE AUTH a RACROUTE FASTAUTH najdete v dokumentaci k RACF nebo k rovnocennému produktu založenému na SAF.




Odkazy s označením (online) vyžadují přístup k Internetu.

Související pojmy
Související úlohy
Související odkazy


Název souboru: usec_safpropszos.html