Проверка прав доступа с помощью z/OS System Authorization Facility

Эта страница предназначена для настройки System Authorization Facility (SAF).

Для того чтобы включить проверку прав доступа SAF:
  1. Выберите Защита > Глобальная защита > Внешний модуль проверки прав доступа.
  2. Выберите переключатель System Authorization Facility (SAF).
  3. Для настройки опций проверки прав доступа SAF нажмите Опции проверки прав доступа SAF. Это опции для неидентифицированных пользователей и для отключения сообщений EJBROLE.

Общие параметры для неидентифицированных пользователей, проверки прав доступа SAF и отключения сообщений EJBROLE более не являются пользовательскими параметрами.

ИД неидентифицированного пользователя

ИД пользователя MVS, соответствующий незащищённым запросам сервлетов при использовании проверки прав доступа SAF или реестра локальной операционной системы. Длина ИД не должны превышать 8 символов.

Этот параметр используется в следующих ситуациях:
  • Для проверки прав доступа при вызове незащищённым сервлетом сущностного объекта EJB
  • Для идентификации незащищённого сервлета для вызова программы подключения z/OS, такой как Customer Information Control System (CICS) или Information Management System (IMS), использующей текущий субъект при res-auth=container
  • При вызове приложением функции синхронизации с нитью ОС
Дополнительная информация приведена в следующих статьях Information Center:
  • "Синхронизация приложения с нитью ОС
  • "Когда следует использовать опцию Разрешить синхронизацию с нитью ОС"
Сопоставление профайлов SAF

Указывает имя профайла SAF EJBRole, которому соответствует рольJava 2 Platform, Enterprise Edition (J2EE). Указываемое имя должно реализовывать интерфейс com.ibm.websphere.security.SAFRoleMapper.

Дополнительная информация приведена в разделе Создание пользовательского класса преобразования ролей EJB SAF

Предоставление прав доступа

Указывает, что профайлы SAF EJBROLE используются для проверки прав доступа на основе ролей, для приложений Java 2 Platform, Enterprise Edition, а также для запросов проверки прав доступа по ролям (к подсистеме имен и подсистеме администрирования), связанных со средой выполнения сервера приложений

Если реестр LDAP или другой настроены, и выбрана проверка прав доступа SAF, сопоставление с субъектом z/OS необходимо при каждом входе в систему для запуска защищённых методов:
  • Если в качестве механизма идентификации используется LTPA, рекомендуется включить во все записи конфигурации сопоставление с допустимым субъектом z/OS (например, WEB_INBOUND, RMI_INBOUND или DEFAULT).
  • Если в качестве механизма идентификации используется Простой механизм идентификации WebSphere (SWAM), сопоставление с допустимым субъектом z/OS следует включить во все записи конфигурации SWAM.
Включить делегирование SAF

Присваивать определения EJBROLE ИД пользователя MVS, которое становится активным при выборе роли, указываемой RunAs.

Выберите Включить делегирование SAF, только если вы используете Включить проверку прав доступа SAF как внешнее средство проверки прав доступа.

Отключить контрольные сообщения EJBRole RACF

Отключить сообщения ICH408I.

System Management Facility (SMF) ведёт протокол нарушений доступа независимо от этого нового параметра. Этот параметр затрагивает создание сообщений о нарушении прав доступа для ролей, определяемых приложением, и динамических ролей сервера приложений для подсистем именования и администрирования. Проверка профайла EJBROLE выполняется при описательных (файлы описания) и программных проверках:
  • Описательные проверки реализуются в виде защитных ограничений в Web-приложениях, а файлы описания - в виде защитных ограничений в объектах JavaBeans (EJB). Это свойство не используется для управления сообщениями в этом случае. Вместо этого разрешается набор ролей, и при возникновении нарушения прав доступа сообщение ICH408I означает сбой одной из ролей. В протокол заносится одна запись о нарушении прав доступа для этой роли.
  • Проверка программных алгоритмов (или проверка прав доступа) выполняется с помощью метода isCallerinRole(x) для объектов EJB и isUserInRole(x) для Web-приложений. Параметр com.ibm.security.SAF.EJBROLE.Audit.Messages.Suppress управляет сообщениями, генерируемыми этим вызовом.

Дополнительная информация о проверке прав доступа SAF приведена в статье Information Center "Управление доступом к консоли при использовании реестра локальной ОС". Дополнительная информация об административных ролях приведена в статье Information Center "Административные роли".

Прим.: При использовании стороннего средства проверки прав доступа, такого как Tivoli Access Manager или SAF для z/OS данные в административной консоли могут не соответствовать данным в провайдере. Кроме того, изменения в панели могут не отражаться в провайдере автоматически. Для передачи изменений провайдеру выполните соответствующие инструкции средства проверки прав доступа.
По умолчанию: Отключено, т.е. сообщения не отключены.
Стратегия ведения контрольной записи SMF

Определяет, когда следует вносить контрольную запись в System Management Facility (SMF). При каждом вызове для проверки прав доступа RACF или эквивалентный основанный на SAF продукт может вносить контрольную запись в SMF о результате проверки прав доступа.

WebSphere Application Server для z/OS использует SAF операции RACROUTE AUTH и RACROUTE FASTAUTH и передаёт параметр LOG, указанный в конфигурации защиты. Возможные варианты - DEFAULT, ASIS, NOFAIL и NONE.

Доступны следующие опции:
DEFAULT

Если указаны несколько ролевых ограничений, например так, что пользователь должен иметь только одну из набора ролей, для всех ролей, кроме последней, выбирается NOFAIL. Тогда если права доступа предоставляются ролью, не являющейся последней, WebSphere Application Server вносит запись об успешной проверке прав доступа. В случае неуспешного предоставления прав доступа последняя роль отмечается как ASIS. Если пользователю присваивается последняя роль, может быть внесена запись об успешной проверке прав доступа. Если пользователю отказано в доступе, может быть внесена запись о неуспешной проверке прав доступа.

ASIS
Записывать события контроля по правилам, определённым в профайле, защищающем ресурс, или по правилам, указанным в SETROPTS.
NOFAIL
Не записывать сообщения о неуспешном предоставлении прав доступа. При этом сообщения об успешном предоставлении прав доступа могут записываться.
NONE
Не записывать сообщения о предоставлении прав доступа.

Даже если выполняется несколько вызовов для проверки прав доступа SAF, то в случае непредоставления прав доступа соответствующее сообщение записывается только один раз. Дополнительные сведения об опциях LOG для RACROUTE AUTH и RACROUTE FASTAUTH приведены в документации RACF или эквивалентного продукта, основанного на SAF.

Префикс профайлов SAF

Префикс, который будет добавлен ко всем профайлам SAF EJBROLE, используемым для ролей Java EE. Кроме того, префикс используется в качестве имени профайла APPL и входит в состав имени профайла, используемого для проверок CBIND. Для поля префикса профайлов SAF значение по умолчанию не предусмотрено. Если префикс не задан явно, то к профайлам SAF EJBROLE префикс не добавляется, в качестве имени профайла APPL используется значение по умолчанию CBS390, а в имя профайла, используемого для проверок CBIND, ничего дополнительно не включается.



Ссылки, помеченные как (в сети), требуют подключения к Internet.

Понятия, связанные с данным
Задачи, связанные с данной
Ссылки, связанные с данной

Имя файла: usec_safpropszos.html