z/OS 安全性选项

使用此页面来确定要对 z/OS® 上的应用程序服务器指定的“全局安全性”选项。

要查看此管理控制台页面,单击安全性 > 全局安全性 > z/OS 安全性选项

也可以通过完成以下步骤来查看此管理控制台页面:
  1. 单击服务器 > 服务器类型 > WebSphere 应用程序服务器 > server_name
  2. 在“安全性”下,单击服务器域
  3. 单击 z/OS 安全性选项

如果是第一次配置安全性,请先完成“全局安全性”一文中的步骤,然后再进行更改。配置安全性后,请验证对用户注册表面板或认证机制面板所作的任何更改。单击应用以验证用户注册表设置。将尝试向已配置的用户注册表认证服务器标识。启用全局安全性后,通过验证用户注册表设置,可以减少第一次重新启动服务器时可能会发生问题。

远程标识

指定系统授权工具(SAF)用户标识,当未认证的因特网 ORB 间协议(IIOP)客户机从另一系统对此服务器发出请求时,将使用该用户标识。

指定是否允许应用程序远程标识。

注: 此信息仅适用于 V6.1 单元中联合的 V6.0.x 和先前版本服务器。
本地标识

指定 SAF 用户标识,当未认证的因特网 ORB 间协议(IIOP)客户机从同一系统对此服务器发出请求时,将使用该用户标识。

指定是否允许应用程序本地标识。

注: 此信息仅适用于 V6.1 单元中联合的 V6.0.x 和先前版本服务器。
启用应用程序服务器与 z/OS 线程标识同步

指定应用程序服务器可以处理指定了 SyncToOSThread 选项的应用程序组件的此选项。

选择此选项时,表示当应用程序编码为使用线程同步功能时,是否允许操作系统线程标识以与应用程序服务器运行时中使用的 Java™ Platform, Enterprise Edition(Java EE)标识同步。

将操作系统标识与 Java EE 标识同步将导致操作系统标识与已认证的调用者标识同步,或者与 servlet 或 Enterprise JavaBeans™(EJB)文件中授权的运行方式标识同步。这种同步或关联意味着 z/OS 系统服务请求(例如对文件的访问)使用调用者标识或安全角色标识,而不是使用服务器区域标识。

为了让此功能活动,以下条件必须都为 true:
  • “允许与操作系统线程同步”值为 true
  • 在应用程序的部署描述符中,env-entry com.ibm.websphere.security.SyncToOSThread 设置为 true
  • 已配置的用户帐户存储库是“本地操作系统”。

当这些条件为 true 时,操作系统线程标识初始设置为 Web 或 EJB 请求的已认证的调用者标识。每次修改 Java EE 标识时将修改操作系统线程。Java EE 标识可以由部署描述符上的运行方式规范或程序化的 WSSubject.doAs() 请求修改。

如果“允许与操作系统线程同步”的值为 false(这是缺省设置),那么禁用修改已安装应用程序的部署描述符中部署描述符设置的操作系统线程标识的能力。如果服务器未配置为接受启用同步,并且应用程序部署描述符 com.ibm.websphere.security.SyncToOSThread 设置为 true,那么会产生一条 BBOJ0080W 警告消息,指出 EJB 正在请求 SyncToOSThread 选项,但服务器没有启用 SyncToOSThread 选项。

要点:此选项将显著增加用于安全性审计的 SMF 80 记录数。对 SMF 80 记录打开了安全性审计时,使用的 DASD 量会显著增加。

启用连接管理器 RunAs 线程标识

设置与执行线程上的 Java Platform, Enterprise Edition(Java EE)标识相关联的 MVS™ 标识。当应用程序请求连接时,本地 Java EE 连接器体系结构(J2CA)连接器可支持将 MVS 标识用于认证和授权。

启用该设置时,方法可以处理修改操作系统标识的请求以反映 Java Platform, Enterprise Edition(Java EE)标识。要利用线程标识支持,此功能是必需的。访问 z/OS 系统上本地资源的 Java EE 连接器体系结构(J2CA)连接器可以使用线程标识支持。如果以下所有条件都为 true,那么访问本地 z/OS 资源的一组 J2CA 连接器缺省为应用程序的 Java EE 标识:
  • 资源权限设置为容器管理的(res-auth=container)。
  • 部署应用程序时,未编码别名条目。
  • “连接管理器与操作系统线程同步”设置为启用

例如,如果已有 DB2® z/OS 版安全策略,该安全策略对哪些用户能够访问每个表进行控制,并且要在用户访问也需要访问 DB2 z/OS 版的 WebSphere® 应用程序时强制实施该策略。选中“启用连接管理器 RunAs 标识”后,将使用 Java EE 标识(缺省情况下是客户机标识)而不是操作系统标识(服务器标识)来建立与 DB2 z/OS 版的连接。应用程序拥有的 DB2 z/OS 版表访问权是使用现有的 DB2 z/OS 版安全策略确定的。

任何使用线程标识支持的 J2CA 连接器必须支持线程标识。客户信息控制系统(CICS®)、信息管理系统(IMS™)和 DATABASE 2(DB2)支持线程标识。仅当目标 CICS 或 IMS 是在 z/OS 上的应用程序服务器所在系统上配置的时,CICS 和 IMS 才支持线程标识。DB2 始终支持线程标识。如果连接器不支持线程标识,那么与连接关联的用户标识将基于特定连接器支持的缺省用户标识。

数据类型 布尔值
缺省值 已禁用
范围 已启用或已禁用



标有(在线)的链接要求访问因特网。

相关概念
相关任务
相关参考
全局安全性设置


文件名: usec_zos_globalsec.html