Prostřednictvím této stránky lze určit, které volby globálního zabezpečení mají být určeny pro aplikační server pro platformu z/OS.
Chcete-li zobrazit tuto stránku konzoly pro správu, klepněte na volbu Zabezpečení > Globální zabezpečení > Volby zabezpečení z/OS.
Pokud zabezpečení konfigurujete poprvé, dokončete před provedením změn kroky v článku Globální zabezpečení. Po dokončení konfigurace zabezpečení ověřte změny na panelech registru uživatelů nebo mechanismus ověřování. Chcete-li ověřit nastavení registru uživatelů, klepněte na tlačítko Použít. Dojde k pokusu o ověření ID serveru pro konfigurovaný registr uživatelů. Pokud po aktivaci globálního zabezpečení ověříte nastavení registru uživatelů, můžete omezit případné problémy při prvním restartu serveru.
Určuje jméno uživatele spravované zařízením SAF (System Authorization Facility) a předpokládané pro neověřené klienty protokolu IIOP (Internet Inter-ORB Protocol), kteří odešlou požadavek na tento server z jiného systému.
Určuje, zda je pro aplikaci povolena vzdálená identita.
Určuje jméno uživatele spravované zařízením SAF a předpokládané pro neověřené klienty protokolu IIOP (Internet Inter-ORB Protocol), kteří odešlou požadavek na tento server z téhož systému.
Určuje, zda je pro aplikaci povolena lokální identita.
Tato možnost indikuje, zda je identita podprocesu operačního systému povolena k synchronizaci s identitou Java EE (Java Platform, Enterprise Edition), která je používána v běhové komponentě aplikačního serveru v případě, že je aplikace nastavena na vyžadování této funkce.
Synchronizace identity operačního systému s identitou Java EE způsobí, že je identita operačního systému synchronizována s ověřeným volajícím, delegovanou identitou RunAs v servletu nebo souboru EJB (Enterprise JavaBeans). Tato synchronizace nebo přiřazení způsobí, že je místo identity regionu serveru použita pro požadavky služeb operačního systému z/OS, jako je například přístup k souborům, identita volajícího nebo identita role zabezpečení.
Pokud jsou tyto podmínky splněny, je identita podprocesu operačního systému na začátku nastavena na identitu ověřeného volajícího webového požadavku nebo požadavku EJB. Podproces operačního systému je upraven při každé úpravě identity prostředí Java EE. Identita prostředí Java EE může být upravena buď pomocí specifikace RunAs v deskriptoru zavedení, nebo programovým požadavkem WSSubject.doAs().
Pokud hodnota povolení synchronizace s podprocesem operačního systému je false, což je výchozí nastavení, je zakázána možnost upravovat identitu v podprocesu operačního systému nastavení deskriptoru zavedení v deskriptoru zavedení instalované aplikace. Pokud server není konfigurován pro přijetí povolení synchronizace a deskriptor zavedení aplikace com.ibm.websphere.security.SyncToOSThread je nastaven na hodnotu true, je vydáno varování BBOJ0080W uvádějící, že sada EJB vyžaduje volbu SyncToOSThread, ale server ji nepodporuje.
Konektor architektury Java EE Connector (J2CA), který využívá podporu identity podprocesu, musí podporovat identitu podprocesu. Identita podprocesu je podporována systémem CICS (Customer Information Control System), systémem IMS (Information Management System) a produktem DB2. Systémy CICS a IMS podporují identitu podprocesu pouze v případě, že je cílový systém CICS nebo IMS konfigurován ve stejném systému jako aplikační server pro platformu z/OS. Produkt DB2 podporuje identitu podprocesu vždy. Pokud konektor nepodporuje identitu podprocesu, je identita uživatele, která je asociována s připojením, založena na výchozí identitě uživatele podporované příslušným konektorem.
Datový typ | Logický |
Výchozí hodnota | Zakázáno |
Rozsah | Povoleno nebo Zakázáno |
Důležité: Tato volba výrazně zvyšuje počet záznamů SMF 80 použitých pro prověřování zabezpečení. Pokud je pro záznamy SMF 80 prověřování zabezpečení zapnuto, výrazně vzroste také potřeba prostoru na disku.
Tato možnost indikuje, zda je identita podprocesu operačního systému povolena k synchronizaci s identitou Java EE (Java Platform, Enterprise Edition), která je používána v běhové komponentě aplikačního serveru v případě, že je aplikace nastavena na vyžadování této funkce.
Synchronizace identity operačního systému s identitou Java EE způsobí, že je identita operačního systému synchronizována s ověřeným volajícím, delegovanou identitou RunAs v servletu nebo souboru EJB (Enterprise JavaBeans). Tato synchronizace nebo přiřazení způsobí, že je místo identity regionu serveru použita pro požadavky služeb operačního systému z/OS, jako je například přístup k souborům, identita volajícího nebo identita role zabezpečení.
Pokud jsou tyto podmínky splněny, je identita podprocesu operačního systému na začátku nastavena na identitu ověřeného volajícího webového požadavku nebo požadavku EJB. Podproces operačního systému je upraven při každé úpravě identity prostředí Java EE. Identita prostředí Java EE může být upravena buď pomocí specifikace RunAs v deskriptoru zavedení, nebo programovým požadavkem WSSubject.doAs().
Pokud hodnota povolení synchronizace s podprocesem operačního systému je false, což je výchozí nastavení, je zakázána možnost upravovat identitu v podprocesu operačního systému nastavení deskriptoru zavedení v deskriptoru zavedení instalované aplikace. Pokud server není konfigurován pro přijetí povolení synchronizace a deskriptor zavedení aplikace com.ibm.websphere.security.SyncToOSThread je nastaven na hodnotu true, je vydáno varování BBOJ0080W uvádějící, že sada EJB vyžaduje volbu SyncToOSThread, ale server ji nepodporuje.
Konektor architektury Java EE Connector (J2CA), který využívá podporu identity podprocesu, musí podporovat identitu podprocesu. Identita podprocesu je podporována systémem CICS (Customer Information Control System), systémem IMS (Information Management System) a produktem DB2. Systémy CICS a IMS podporují identitu podprocesu pouze v případě, že je cílový systém CICS nebo IMS konfigurován ve stejném systému jako aplikační server pro platformu z/OS. Produkt DB2 podporuje identitu podprocesu vždy. Pokud konektor nepodporuje identitu podprocesu, je identita uživatele, která je asociována s připojením, založena na výchozí identitě uživatele podporované příslušným konektorem.
Datový typ | Logický |
Výchozí hodnota | Zakázáno |
Rozsah | Povoleno nebo Zakázáno |
Důležité: Tato volba výrazně zvyšuje počet záznamů SMF 80 použitých pro prověřování zabezpečení. Pokud je pro záznamy SMF 80 prověřování zabezpečení zapnuto, výrazně vzroste také potřeba prostoru na disku.
Tato možnost určuje, že metoda SyncToOSThread správce připojení je podporována pro aplikace, které mají tuto volbu zadánu.
Pokud máte například předdefinovanou zásadu zabezpečení produktu DB2 for z/OS určující, kteří uživatelé smějí přistupovat k jednotlivým tabulkám, a uživatelé současně přistupují k aplikacím WebSphere a k databázi DB2 pro systém z/OS, můžete tuto zásadu chtít vynutit. Je-li vybrána volba Povolit identitu podprocesu RunAs pro správce připojení, použije se při vytváření připojení k systému DB2 for z/OS místo identity operačního systému (identity serveru) identita Java EE (standardně identita klienta). Přístup k tabulkám systému DB2 for z/OS je určený použitím přednastavené zásady zabezpečení produktu DB2 for z/OS.
Konektor architektury J2CA, který využívá podporu identity podprocesu, musí podporovat identitu podprocesu. Identita podprocesu je podporována systémem CICS (Customer Information Control System), systémem IMS (Information Management System) a produktem DATABASE 2 (DB2). Systémy CICS a IMS podporují identitu podprocesu pouze v případě, že je cílový systém CICS nebo IMS konfigurován ve stejném systému jako aplikační server pro platformu z/OS. Produkt DB2 podporuje identitu podprocesu vždy. Pokud konektor nepodporuje identitu podprocesu, je identita uživatele, která je asociována s připojením, založena na výchozí identitě uživatele podporované příslušným konektorem.
Datový typ | Logický |
Výchozí hodnota | Zakázáno |
Rozsah | Povoleno nebo Zakázáno |
Odkazy s označením (online) vyžadují přístup k Internetu.