Optionen für die Sicherheit in z/OS

Verwenden Sie diese Seite, um zu bestimmen, welche Optionen für die globale Sicherheit für den Anwendungsserver unter z/OS angegeben werden sollen.

Klicken Sie zum Anzeigen dieser Seite der Administrationskonsole auf Sicherheit > Globale Sicherheit > z/OS-Sicherheitsoptionen.

Sie können diese Seite der Administrationskonsole auch anzeigen, indem Sie die folgenden Schritte ausführen:
  1. Klicken Sie auf Server > Servertypen > WebSphere-Anwendungsserver > Servername.
  2. Klicken Sie unter "Sicherheit" auf Serverdomäne.
  3. Klicken Sie auf z/OS-Sicherheitsoptionen.

Wenn Sie die Sicherheit zum ersten Mal konfigurieren, führen Sie die im Artikel "Globale Sicherheit" beschriebenen Schritte aus, bevor Sie Änderungen vornehmen. Nachdem Sie die Sicherheit konfiguriert haben, validieren Sie alle Änderungen, die Sie in den Anzeigen "Benutzer-Registry" und "Authentifizierungsverfahren" vorgenommen haben. Klicken Sie auf Anwenden, um die Einstellungen für die Benutzer-Registry zu ändern. Es wird versucht, die Server-ID für die konfigurierte Benutzer-Registry zu authentifizieren. Wenn Sie die Einstellungen der Benutzer-Registry nach der Aktivierung der globalen Sicherheitseinrichtung überprüfen, können Sie die Anzahl potenzieller Fehler reduzieren, wenn Sie den Server zum ersten Mal erneut starten.

Ferne Identität

Gibt die SAF-Benutzer-ID an, die für IIOP-Clients verwendet wird, die ohne Authentifizierung bei diesem Server Informationen von einem anderen System anfordern.

Gibt an, ob anwendungsferne Identitäten zugelassen werden.

Anmerkung: Diese Informationen gelten nur für Version 6.0.x und frühere Server, die in eine Zelle der Version 6.1 eingebunden sind.
Lokale Identität

Gibt die SAF-Benutzer-ID an, die für IIOP-Clients verwendet wird, die ohne Authentifizierung bei diesem Server Informationen vom selben System anfordern.

Gibt an, ob anwendungslokale Identitäten zugelassen werden.

Anmerkung: Diese Informationen gelten nur für Version 6.0.x und frühere Server, die in eine Zelle der Version 6.1 eingebunden sind.
Synchronisation von Anwendungsserver und z/OS-Thread-ID aktivieren

Gibt an, dass Anwendungsserver die Option "SyncToOSThread" für Anwendungskomponenten verarbeiten können, die diese Option angeben.

Die Auswahl dieser Option gibt an, ob eine aktivierte Betriebssystem-Thread-Identität mit der in der Laufzeitumgebung des Anwendungsservers verwendeten Java-EE-Identität synchronisiert werden soll, falls eine Anwendung diese Funktion anfordert.

Die Synchronisation der Betriebssystem-ID mit der Java-EE-ID bewirkt, dass die Betriebssystem-ID mit dem authentifizierten Aufrufer-ID oder delegierten RunAs-ID in einem Servlet oder einer EJB-Datei synchronisiert wird. Diese Synchronisation oder Zuordnung bedeutet, dass für z/OS-Systemserviceanforderungen (z. B. für den Zugriff auf Dateien) die Caller-ID oder ID der Sicherheitsrolle und nicht die Serverbereichs-ID verwendet wird.

Wenn diese Funktion aktiviert werden soll, müssen alle nachfolgend genannten Bedingungen erfüllt sein:
  • "SyncToOSThread" ist auf true gesetzt.
  • Eine Anwendung nimmt in ihren Implementierungsdeskriptor ein Element "env-entry" mit der Bezeichnung "com.ibm.websphere.security.SyncToOSThread" auf, der auf true gesetzt ist.
  • Das konfigurierte Benutzeraccount-Repository ist das lokale Betriebssystem.

Sind diese Bedingungen erfüllt, wird die OS-Thread-Identität zunächst auf die authentifizierte Caller-ID einer Webanforderung oder EJB-Anforderung gesetzt. Immer, wenn die Java-EE-ID modifiziert wird, wird auch der OS-Thread modifiziert. Die Java-EE-ID kann von einer RunAs-Spezifikation im Implementierungsdeskriptor oder einer Programmanforderung WSSubject.doAs() modifiziert werden.

Wenn SyncToOSThread auf false gesetzt ist (Standardeinstellung), kann die Einstellung für die ID des Betriebssystem-Threads im Implementierungsdeskriptor der installierten Anwendung nicht geändert werden. Falls der Server nicht für die Zulässigkeit der Synchronisation konfiguriert ist und der Implementierungsdeskriptor der Anwendung com.ibm.websphere.security.SyncToOSThread auf true gesetzt ist, wird eine Warnung BBOJ0080W abgesetzt. Diese Warnung gibt an, dass die EJB SyncToOSThread anfordert, der Server jedoch nicht für SyncToOSThread konfiguriert ist.

Wichtig: Diese Option bewirkt, dass die Anzahl der SMF-80-Sätze, die für die Sicherheitsprüfung verwendet werden, wesentlich erhöht wird. Wenn die Sicherheitsprüfung für SMF-80-Sätze aktiviert wird, erhöht sich die Anzahl der DASD-Einheiten erheblich.

RunAs-Thread-Identität des Verbindungsmanagers aktivieren

Definiert die MVS-Identität, die der Java-EE-Identität (Java Platform, Enterprise Edition) im Ausführungs-Thread zugeordnet ist. Lokale J2CA-Connector (Java EE Connector Architecture) können die MVS-Identität für die Authentifizierung und Berechtigung berücksichtigen, wenn eine Anwendung eine Verbindung anfordert.

Wenn Sie diese Einstellung aktivieren, kann die Methode eine Anforderung verarbeiten, die die Betriebssystemidentität an die Java-EE-Identität (Java Platform, Enterprise Edition) anpasst. Diese Funktion ist erforderlich, um die Vorteile der Thread-ID-Unterstützung nutzen zu können. J2CA-Connector mit Zugriff auf lokale Ressourcen auf einem z/OS-System können die Unterstützung für Thread-IDs verwenden. Eine Reihe von J2CA-Connector, die auf lokale z/OS-Ressourcen zugreifen, verwenden standardmäßig die Java-EE-Identität der Anwendung, wenn alle nachfolgend genannten Bedingungen erfüllt sind:
  • Die Ressourcenberechtigung ist containergesteuert (res-auth=container).
  • Bei der Implementierung der Anwendung ist kein Aliasname codiert.
  • Die Einstellung "SyncToOSThread" des Verbindungsmanagers ist aktiviert (enabled).

Wenn Sie eine bereits vorhandene Sicherheitsrichtlinie für DB2 for z/OS haben, die steuert, welche Benutzer auf welche Tabelle zugreifen dürfen, möchten Sie diese Richtlinie möglicherweise auch anwenden, wenn Benutzer auf WebSphere-Anwendungen zugreifen, die auch auf DB2 for z/OS zugreifen. Anstelle der Identität des Betriebssystems wird die Java-EE-Identität (standardmäßig die Clientidentität) verwendet, um Verbindungen zu DB2 for z/OS herzustellen, wenn die Option "RunAs-Identität des Verbindungsmanagers aktiviert" ausgewählt ist. Der Zugriff auf die Tabellen von DB2 for z/OS für die Anwendung wird über die bereits vorhandene Sicherheitsrichtlinie für DB2 for z/OS bestimmt.

Jeder J2CA-Connector, der mit Thread-IDs arbeitet, muss Unterstützung für Thread-IDs bieten. CICS (Customer Information Control System), IMS (Information Management System) und DB2 (DATABASE 2) unterstützen Thread-IDs. CICS und IMS können Thread-IDs nur unterstützen, wenn das Ziel-CICS oder -IMS auf demselben System wie der Anwendungsserver für z/OS konfiguriert ist. DB2 unterstützt Thread-IDs ohne weitere Bedingungen. Falls ein Connector keine Thread-IDs unterstützt, basiert die der Verbindung zugeordnete Benutzer-ID auf der vom jeweiligen Connector unterstützten Standardbenutzer-ID.

Datentyp Boolean
Standardeinstellung Inaktiviert
Einstellmöglichkeiten Aktiviert oder Inaktiviert



Mit (online) gekennzeichnete Links setzen einen Internet-Zugang voraus.

Zugehörige Konzepte
Zugehörige Tasks
Zugehörige Verweise
Einstellungen der globalen Sicherheit


Dateiname: usec_zos_globalsec.html