Параметры внешнего средства проверки прав доступа

Проверка прав доступа с помощью System Authorization Facility (SAF)

Использование профайлов EJBROLE SAF для проверки прав доступа на основе ролей для приложений Java 2 Platform, Enterprise Edition (Java EE), а также для запросов проверки прав доступа по ролям (к подсистеме имен и подсистеме администрирования), связанных со средой выполнения сервера приложений. Эта опция доступна только в том случае, если среда содержит узлы z/OS.

Важное замечание: При выборе этой опции WebSphere Application Server использует стратегию проверки прав доступа, которая хранится в продукте защиты z/OS.

Если реестр LDAP или другой настроены, и выбрана проверка прав доступа SAF, сопоставление с субъектом z/OS необходимо при каждом входе в систему для запуска защищённых методов:

• Если в качестве механизма идентификации используется LTPA, рекомендуется включить во все записи конфигурации сопоставление с допустимым субъектом z/OS (например, WEB_INBOUND, RMI_INBOUND или DEFAULT).
• Если в качестве механизма идентификации используется Простой механизм идентификации WebSphere (SWAM), сопоставление с допустимым субъектом z/OS следует включить во все записи конфигурации SWAM.
  Прим.: SWAM является устаревшим и будет удален в будущих версиях.

Включить некоторые параметры проверки прав доступа SAF можно, щёлкнув на Проверка прав доступа SAF z/OS в разделе Связанные элементы. Для свойства com.ibm.security.SAF.EJBROLE.Audit.Messages.Suppress можно добавить значение. Оно позволяет отключить сообщения ICH408I. Значение по умолчанию - false, сообщения не отключаются. Для отключения сообщений установите значение в true.

Это свойство затрагивает сообщения о нарушении прав доступа как для ролей, определяемых приложением, так и динамических ролей сервера приложений для подсистем имен и администрирования. Записи Инструмента управления системами (SMF) этим свойством не затрагиваются. Проверка профайла EJBROLE выполняется при описательных (файлы описания) и программных проверках:

• Описательные проверки реализуются в виде защитных ограничений в Web-приложениях, а файлы описания - в виде защитных ограничений в объектах EJB. Это свойство не используется для управления сообщениями в этом случае. Вместо этого разрешается набор ролей, и при возникновении нарушения прав доступа сообщение ICH408I означает сбой одной из ролей. В протокол заносится одна запись о нарушении прав доступа (для этой роли).
• Проверка программных алгоритмов (или проверки прав доступа) выполняется с помощью isCallerinRole(x) для объектов EJB и isUserInRole(x) для Web-приложений. Параметр com.ibm.security.SAF.EJBROLE.Audit.Messages.Suppress управляет сообщениями, генерируемыми этим вызовом.

Внешний провайдер JACC

Подготовка сервера приложений к использованию внешнего провайдера JACC. Например, спецификация JACC требует для настройки внешнего провайдера JACC имя класс стратегии и фабрики конфигурации.

Параметры по умолчанию соответствуют Tivoli Access Manager. При использовании другого провайдера их потребуется изменить.

Не менять провайдер

Запрещает распространять стратегии и роли защиты на внешний провайдер JACC.

Обновлять для всех приложений

Разрешает распространять стратегии и роли защиты на внешний провайдер JACC для всех приложений.

Обновлять для указанных приложений

Для отдельных приложений разрешает распространять стратегии и роли защиты на внешний провайдер JACC.

Ссылки, помеченные как (в сети), требуют подключения к Internet.

Задачи, связанные с данной

Ссылки, связанные с данной

Параметры внешнего провайдера Java ACC

Проверка прав доступа с помощью z/OS System Authorization Facility