Параметры защиты z/OS

Эта страница позволяет определить опции глобальной защиты для z/OS.

Для просмотра этой страницы административной консоли выберите Защита > Глобальная защита > Параметры защиты z/OS.

Кроме того, эту страницу административной консоли выполните можно просмотреть, выполнив следующие действия:
  1. Выберите Серверы > Типы серверов > Серверы приложений WebSphere > имя_сервера.
  2. В разделе Защита выберите Домен сервера.
  3. Выберите Параметры защиты z/OS.

В случае первоначальной настройки защиты перед внесением изменений выполните инструкции, приведенные в разделе Глобальная защита. После настройки защиты проверьте все изменения, внесенные на панелях реестра пользователей и способа идентификации. Нажмите кнопку Применить для подтверждения параметров реестра пользователей. Будет выполнена попытка идентифицировать ИД сервера в настроенном реестре пользователей. Проверка параметров реестра пользователей после включения Глобальной защиты позволяет снизить вероятность неполадок, связанных с первым перезапуском сервера.

ИД удаленных запросов

ИД пользователя SAF, от имени которого неидентифицированные клиенты IIOP запрашивают этот сервер из других систем.

Указывает, разрешено ли применение удаленного идентификатора приложения.

Прим.: Информация только для серверов версии 6.0.x и более ранних версий, встроенных в ячейку версии 6.1.
ИД локальных запросов

ИД пользователя SAF, от имени которого неидентифицированные клиенты IIOP запрашивают этот сервер из локальной системы.

Указывает, разрешено ли применение локального идентификатора приложения.

Прим.: Информация только для серверов версии 6.0.x и более ранних версий, встроенных в ячейку версии 6.1.
Включить синхронизацию идентификаторов нитей сервера приложений и z/OS

Указывает, что серверы приложений могут обработать опцию SyncToOSThread для компонентов приложений, в которых она указана.

Выбрав данную опцию, можно указать, разрешена ли синхронизация идентификатора нити операционной системы с идентификатором Java Platform, Enterprise Edition (Java EE), применяемым средой выполнения сервера приложений, если приложение предусматривает вызов этой функции.

Опция синхронизации идентификатора операционной системы с идентификатором Java EE обеспечивает синхронизацию идентификатора операционной системы с идентифицированным инициатором вызова или встроенным идентификатором RunAs из сервлета или файла EJB (Enterprise JavaBeans). Такая синхронизация (связь) означает, что для запросов к системным службам z/OS, таким как доступ к файлам, используется идентификатор инициатора или идентификатор роли защиты, а не идентификатор области сервера.

Для работы этой функции должны быть выполнены следующие условия:
  • Для опции синхронизации с нитью операционной системы указано значение true.
  • В файле описания приложения для атрибута env-entry свойства com.ibm.websphere.security.SyncToOSThread указано значение true.
  • В качестве хранилища учетных записей пользователей выбрана локальная операционная система.

Если эти условия выполнены, то изначально в качестве идентификатора нити операционной системы задается идентификатор проверенного инициатора Web-запроса или запроса EJB. Нить операционной системы изменяется каждый раз при изменении идентификатора Java EE. Идентификатор Java EE можно изменить, указав роль RunAs в файле описания, либо с помощью запроса WSSubject.doAs().

Если синхронизация с нитью операционной системы запрещена (по умолчанию), то в файле описания установленного приложения будет запрещено изменение идентификатора в нити операционной системы. Если сервер не допускает синхронизацию и в файле описания приложения для свойства com.ibm.websphere.security.SyncToOSThread указано значение true, выданное в этом случае предупреждение BBOJ0080W указывает, что объект EJB запрашивает опцию SyncToOSThread, но на сервере данная опция не включена.

Важная информация: Данная опция значительно увеличивает число записей SMF 80, применяемых для контроля защиты. Если для записей SMF 80 включен контроль защиты, то значительно увеличится количество используемых ресурсов DASD.

Включить идентификатор нити RunAs диспетчера соединений

Задает объект идентификации MVS, связанный с объектом идентификации Java Platform, Enterprise Edition (Java EE) в нити выполнения. При запросе приложением соединения, программы подключения Java EE Connector architecture (J2CA) могут поручить идентификацию объекту MVS.

Если этот параметр выбран, то метод может обрабатывать запрос, изменяющий идентификатор операционной системы, в соответствии с идентификатором Java Platform, Enterprise Edition (Java EE). Данная функция требуется для поддержки идентификаторов нитей. Программы подключения J2CA (Java EE Connector architecture), обращающиеся к локальным ресурсам системы z/OS, могут использовать поддержку идентификаторов нитей. В следующем списке перечислены условия, при выполнении которых набор коннекторов J2CA, обращающихся к локальным ресурсам z/OS, применяет идентификатор Java EE приложения:
  • Права доступа к ресурсам управляются контейнером (res-auth=container).
  • В ходе развертывания приложения запись псевдонима не кодируется.
  • Для параметра Синхронизация с нитью операционной системы администратора соединений указано значение enabled.

Например, если имеется заранее созданная стратегия защиты DB2 for z/OS, которая управляет доступом пользователей к таблицам, может потребоваться применить эту стратегию при доступе пользователей к приложениям WebSphere, которые также обращаются к ресурсам DB2 for z/OS. Если выбрана опция Включить идентификатор RunAs диспетчера соединений, то для установления соединений с DB2 for z/OS применяется идентификатор Java EE (по умолчанию - идентификатор клиента), а не идентификатор операционной системы (идентификатор сервера). Доступ приложения к таблицам DB2 for z/OS определяется с помощью заранее созданной стратеги защиты DB2 for z/OS.

Коннекторы J2CA, использующие поддержку идентификаторов нитей, должны поддерживать идентификаторы нитей. Поддержка идентификаторов нитей реализована в CICS, IMS и DB2. CICS и IMS поддерживают идентификаторы нитей только в том случае, если целевая система CICS или IMS настроена в одной системе с сервером приложений для z/OS. DB2 всегда поддерживает идентификаторы нитей. Если коннектор не поддерживает идентификаторы нитей, то ИД пользователя, связанный с соединением, создается на основе ИД пользователя по умолчанию, поддерживаемого конкретными коннектором.

Тип данных Булевское значение
Значение по умолчанию Выключено
Диапазон значений Включено или выключено



Ссылки, помеченные как (в сети), требуют подключения к Internet.

Понятия, связанные с данным
Задачи, связанные с данной
Ссылки, связанные с данной
Глобальные параметры защиты


Имя файла: usec_zos_globalsec.html