Opciones de seguridad de z/OS

Utilice esta página para determinar qué opciones de seguridad globales va a especificar para el servidor de aplicaciones de z/OS.

Para ver esta página de la consola administrativa, pulse Seguridad > Seguridad global > Opciones de seguridad de z/OS.

También puede ver esta página de la consola administrativa realizando los pasos siguientes:
  1. Pulse Servidores > Tipos de servidor > WebSphere Application Servers > nombre_servidor.
  2. En Seguridad, pulse Dominio del servidor.
  3. Pulse Opciones de seguridad z/OS.

Si configura la seguridad por primera vez, complete los pasos del artículo Seguridad global antes de realizar cambios. Una vez configurada la seguridad, valide los cambios en los paneles del registro de usuario o de los mecanismos de autenticación. Pulse Aplicar para validar los valores del registro de usuario. Se intentará autenticar el ID de servidor en el registro de usuario configurado. Si se validan los valores de registro de usuarios después de habilitar la seguridad global se pueden reducir los problemas potenciales cuando reinicie el servidor por primera vez.

Identidad remota

Especifica el ID de usuario SAF (System Authorization Facility) que se asume para los clientes autenticados IIOP (Internet Inter-ORB Protocol) que realizan solicitudes de este servidor desde otro sistema.

Especifica si está permitida una identidad remota de aplicación.

Nota: [Esta información se aplica a la Versión 6.0.x y sólo a los servidores anteriores que estén federados en una célula de la Versión 6.1.]
Identidad local

Especifica el ID de usuario SAF que se supone para los clientes autenticados IIOP (Internet Inter-ORB Protocol) que realizan solicitudes de este servidor desde el mismo sistema.

Especifica si está permitida una identidad local de aplicación.

Nota: [Esta información se aplica a la Versión 6.0.x y sólo a los servidores anteriores que estén federados en una célula de la Versión 6.1.]
Habilitar el servidor de aplicaciones y la sincronización de la identidad de hebra de z/OS

Especifica que los servidores de aplicaciones pueden procesar la opción SyncToOSThread para los componentes de aplicaciones que lo especifiquen.

Al seleccionar esta opción se indica si una identidad de hebra del sistema operativo está habilitada para la sincronización con la identidad de plataforma Java Platform, Enterprise Edition (Java EE) que se utiliza durante la ejecución del servidor de aplicaciones si se ha codificado una aplicación para solicitar esta función.

La sincronización de la identidad del sistema operativo con la identidad Java EE hace que la identidad del sistema operativo se sincronice con el emisor autenticado o la identidad RunAs delegada en un servlet o archivo EJB (Enterprise JavaBeans). Esta sincronización o asociación significa que se utiliza la identidad de rol de seguridad o emisor en lugar de la identidad de región de servidor para las solicitudes de servicio del sistema z/OS como el acceso a archivos.

Para que esta función esté activa, deben cumplirse todas las condiciones siguientes:
  • El valor de Sincronización con la hebra del sistema operativo permitida sea true.
  • Una aplicación incluya dentro de su descriptor de despliegue una entrada env-entry de com.ibm.websphere.security.SyncToOSThread establecida en true.
  • El repositorio de cuentas de usuario configurados es el sistema operativo local.

Cuando estas condiciones son verdaderas, la identidad de hebra de OS se establece inicialmente en la identidad del llamante autenticado de una solicitud web o EJB. La hebra de OS se modifica cada vez que se modifica la identidad Java EE. La identidad Java EE puede modificarse por una especificación RunAs en el descriptor de despliegue o una solicitud WSSubject.doAs() programática.

Si Sincronización con la hebra del sistema operativo permitida tiene el valor false, que es el valor predeterminado, esto inhabilita la posibilidad de modificación de la identidad en la hebra del sistema operativo del valor del descriptor de despliegue en el descriptor de despliegue de la aplicación. Si el servidor no se ha configurado para aceptar la habilitación de la sincronización y el descriptor de despliegue de la aplicación, com.ibm.websphere.security.SyncToOSThread, está establecido en true, un mensaje de aviso BBOJ0080W indica que EJB está solicitando la opción SyncToOSThread, pero el servidor no está habilitado para la opción SyncToOSThread.

Importante: Esta opción aumenta de modo significativo el número de registros SMF 80 utilizados para auditar la seguridad. Si está activada la auditoría de seguridad para los registros SMF 80, la cantidad de DASD utilizada también aumenta de modo significativo.

Habilitar la identidad de hebra RunAs del gestor de conexiones

Establece la identidad de MVS asociada a la identidad de Java Platform, Enterprise Edition (Java EE) en la hebra de ejecución. Los conectores locales de Java EE Connector Architecture (J2CA) pueden distinguir la identidad de MVS para la autenticación y la autorización cuando una aplicación solicite una conexión.

Al habilitar este valor, el método puede procesar una solicitud que modifique la identidad del sistema operativo de modo que refleje la identidad Java EE (Java Platform, Enterprise Edition). Esta función es necesaria para aprovechar el soporte de la identidad de hebras. Los conectores de arquitectura de conector Java EE que acceden a los recursos locales en un sistema z/OS pueden utilizar el soporte de identidad de hebra. Un conjunto de conectores J2CA que accede a los recursos para z/OS locales toman como valor predeterminado la identidad Java EE de la aplicación, si se cumplen las siguientes condiciones:
  • La autorización de recursos está establecida en gestionado por contenedor (res-auth=container).
  • Una entrada de alias no está codificada al desplegar la aplicación.
  • El valor Sincronizar con hebra de OS del gestor de conexiones está establecido en habilitado.

Por ejemplo, si tiene una política de seguridad preexistente de DB2 para z/OS que controla qué usuarios tienen acceso a cada tabla, deseará que se aplique esa política cuando los usuarios accedan a las aplicaciones de WebSphere que tengan acceso también a DB2 para z/OS. Cuando está seleccionada la Identidad RunAs habilitada del gestor de conexiones, se utiliza la identidad Java EE (la identidad del cliente, de manera predeterminada), en lugar de la identidad del sistema operativo (identidad del servidor), para establecer conexiones con DB2 para z/OS. El acceso a las tablas de DB2 para z/OS de la aplicación se determina utilizando la política de seguridad preexistente de DB2 para z/OS.

Cualquier conector J2CA que utilice el soporte de identidad de hebra debe dar soporte a la identidad de hebra. CICS (Customer Information Control System), IMS (Information Management System) y DATABASE 2 (DB2) dan soporte a la identidad de hebra. CICS y IMS sólo dan soporte a la identidad de hebra si CICS o IMS se han configurado en el mismo sistema que el servidor de aplicaciones para z/OS. DB2 siempre da soporte a la identidad de hebra. Si un conector no da soporte a la identidad de hebra, la identidad de usuario asociada a la conexión se basa en la identidad de usuario predeterminada soportada por el conector concreto.

Tipo de datos Booleano
Valor predeterminado Inhabilitado
Rango Habilitado o Inhabilitado



Los enlaces marcados (en línea) requieren acceso a Internet.

Conceptos relacionados
Tareas relacionadas
Referencia relacionada
Valores de seguridad global


Nombre de fichero: usec_zos_globalsec.html