Autorizace systémového ověřovacího zařízení systému z/OS

Prostřednictvím této stránky můžete konfigurovat zařízení SAF (System Authorization Facility) a vlastnosti autorizace SAF.

Chcete-li povolit autorizaci SAF, postupujte takto:
  1. Klepněte na volbu Zabezpečení > Globální zabezpečení > Externí poskytovatelé autorizace.
  2. Vyberte volbu SAF (System Authorization Facility) z rozevíracího seznamu Poskytovatel autorizace.
  3. Klepněte na tlačítko Konfigurovat.
Po výběru autorizace SAF produkt WebSphere Application Server používá k autorizaci zásadu autorizace uloženou v produktu zabezpečení systému z/OS. Pokud je konfigurován registr protokolu LADP (Lightweight Access Directory Protocol) nebo vlastní registr a zadána autorizace SAF, je při každém přihlášení pro každou chráněnou metodu vyžadováno spuštění mapování na činitele z/OS:

Společné vlastnosti pro neověřeného uživatele, autorizaci SAF a potlačení zpráv SAF EJBROLE již nejsou přizpůsobené vlastnosti.

Po výběru této volby produkt WebSphere používá k autorizaci zásadu autorizace uloženou v produktu zabezpečení systému z/OS.

Ověřené jméno uživatele

Určuje jméno uživatele systému MVS použité k reprezentaci požadavků na nechráněné servlety v případě, že je nastavena autorizace SAF nebo že je konfigurován registr lokálního operačního systému. Maximální délka tohoto jména uživatele je 8 znaků.

Tato definice vlastnosti se používá v následujících instancích:
  • Pro autorizaci, ve které nechráněný servlet vyvolává objekt entity bean
  • Pro identifikaci nechráněného servletu pro vyvolání konektoru z/OS, například CICS (Customer Information Control System) nebo IMS (Information Management System), který používá aktuální identitu, když platí res-auth=container
  • Když dojde k pokusu o spuštění funkce synchronizace pro podproces OS, iniciované aplikací
Podrobnější informace najdete v následujících odstavcích v informačním centru:
  • "Pochopení aplikace Synchronizace pro podproces OS povolena"
  • "Kdy použít aplikaci Synchronizace pro podproces OS povolena"
Mapovač profilů SAF

Určuje název profilu SAF EJBRole, na který je mapován název role prostředí J2EE (Java 2 Platform, Enterprise Edition). Název, který určíte, implementuje rozhraní com.ibm.websphere.security.SAFRoleMapper.

Další informace naleznete v dokumentu Vývoj vlastního mapovače rolí sady EJB zařízení SAF.

Povolit delegování SAF

Určuje, že definicím profilů SAF EJBROLE je přiřazena identita uživatele systému MVS, která se stane aktivní identitou v okamžiku, kdy je vybrána role určená podprocesem RunAs.

Volbu Povolit delegování SAF vyberte pouze tehdy, když jste jako externího poskytovatele autorizace vybrali volbu Povolit autorizaci SAF.

Použít profil APPL k omezení přístupu k aplikačnímu serveru

Použít profil APPL k omezení přístupu k produktu WebSphere Application Server

Pokud jste definovali předponu profilu SAF, bude použit profil APPL určený předponou profilu. V opačném případě bude použit název profilu APPL CBS390. Všechny identity systému z/OS, které používají služby WebSphere, by měly mít oprávnění ke čtení profilu APPL. K těmto identitám patří všechny identity produktu WebSphere Application Server, neověřené identity produktu WebSphere Application Server, administrativní identity produktu WebSphere Application Server, ID uživatelů založená na mapování rolí na uživatele a všechny uživatelské identity systémových uživatelů. Není-li v systému z/OS aktivní třída APPL, nemá tato vlastnost žádný účinek bez ohledu na to, jakou má hodnotu.

Výchozí hodnota: Povoleno
Potlačit zprávy o selhání autorizace od produktu zabezpečení z/OS

Určuje, zda je generování zpráv ICH408I zapnuto nebo vypnuto. Výchozí hodnota tohoto nastavení je false (nezaškrtnuto), tj. nepotlačovat zprávy.

Prostředí SMF (System Management Facility) zaznamenává porušení přístupu bez ohledu na hodnotu, která je určena pro novou vlastnost. Tato vlastnost ovlivňuje generování zpráv porušení přístupu pro role definované aplikacemi i pro role definované běhovými komponentami aplikačního serveru u subsystémů pojmenovávání a správních subsystémů. Kontroly profilů EJBROLE se provádějí jak u deklarativních, tak programových kontrol:
  • Deklarativní kontroly se kódují jako omezení zabezpečení ve webových aplikacích, zatímco deskriptory zavedení se kódují jako omezení zabezpečení v souborech objektů EJB (Enterprise JavaBeans). Tato vlastnost není v tomto případě používána k řízení zpráv. Namísto toho je povolena sada rolí a v případě, že dojde k porušení přístupu, zpráva porušení přístupu ICH408I označuje selhání pro jednu z těchto rolí. Prostředí SMF potom zaznamená do protokolu jedno porušení přístupu pro tuto roli.
  • Kontroly logiky programu nebo kontroly přístupu se provádějí s využitím programovací metody isCallerinRole(x) pro objekty enterprise bean nebo metody isUserInRole(x) u webových aplikací. Je-li vlastnost strategie záznamů auditu SMF nastavena na hodnotu ASIS, NOFAIL nebo NONE, zprávy, které jsou generovány tímto voláním, řídí vlastnost com.ibm.security.SAF.EJBROLE.Audit.Messages.Suppress. Je-li vlastnost strategie záznamů auditu SMF nastavena na hodnotu Výchozí, je potlačování zpráv pro administrativní role vždy povoleno.
Předcházení potížím:
  • Pokud používáte verzi 7.0.0.3 nebo novější a nechcete, aby při nastavení strategie záznamů auditu SMF na hodnotu Výchozí došlo k potlačení zpráv administrativních rolí, nastavte vlastnost com.ibm.security.SAF.EJBROLE.Audit.Messages.Suppress.Admin na hodnotu false. Hodnota zadaná pro tuto vlastnost přepisuje libovolná jiná nastavení, která řídí potlačování zpráv pro administrativní role.
  • Pokud je použito ověřování třetí strany, jako například správce Tivoli Access Manager nebo SAF for z/OS, informace v panelu konzoly pro správu nemusejí reprezentovat data poskytovatele. Navíc změny provedené na panelu nemusí automaticky ovlivnit poskytovatele. Chcete-li rozšířit libovolné změny provedené v poskytovateli, postupujte podle pokynů poskytovatele.
gotcha

Podrobné informace o autorizaci SAF naleznete v tématu "Řízení přístupu k uživatelům konzoly při použití registru lokálního OS" v informačním centru. Další informace o rolích pro správu najdete v tématu "Role pro správu" v informačním centru.

Výchozí hodnota: Zakázáno, což nepotlačuje zprávy.
Strategie záznamů auditu SMF

Určuje, kdy se záznam auditu zapisuje do SMF (System Management Facility). Při každém volání autorizace může systém RACF nebo ekvivalentní produkt pracující na základě standardu SAF zapisovat záznam auditu do prostředku SMF. Výsledkem bude kontrola autorizace.

Produkt WebSphere Application Server pro z/OS využívá operace SAF RACROUTE AUTH a RACROUTE FASTAUTH a předává volbu LOG, která je určena v konfiguraci zabezpečení. Volby jsou DEFAULT, ASIS, NOFAIL a NONE.

V rozevíracím seznamu jsou k dispozici následující volby:
DEFAULT

Když je určeno více omezení role, například když uživatel musí být obsažen v jedné ze sad rolí, všechny role s výjimkou poslední role se kontrolují s volbou NOFAIL. Je-li v jedné z rolí před poslední rolí udělena autorizace, produkt WebSphere Application Server zapíše záznam úspěšné autorizace. Není-li autorizace v těchto rolích úspěšná, poslední role se kontroluje s volbou ASIS. Pokud je uživatel autorizován k poslední roli, může být zapsán záznam úspěchu. Pokud uživatel autorizován není, může být zapsán záznam selhání.

ASIS
Určuje, že jsou sledované události zaznamenávány způsobem, který je určen v profilu, který zabezpečuje prostředek, nebo způsobem, který je určen volbami SETROPTS.
NOFAIL
Určuje, že selhání nejsou zaznamenávána. Zprávy nezdařených autorizací se nevydávají, ale mohou být zapisovány záznamy auditu o úspěšné autorizaci.
NONE
Určuje, že se nezapisují ani úspěchy ani selhání.

U kontroly nezdařené autorizace J2EE se zapisuje pouze jeden záznam nezdařené autorizace i v případě, že se provede několik volání autorizace SAF. Další informace o volbách LOG pro SAF RACROUTE AUTH a RACROUTE FASTAUTH najdete v dokumentaci k RACF nebo k rovnocennému produktu založenému na SAF.

Předpona profilu SAF

Určuje předponu, která bude přidána všem profilům SAF EJBROLE používaným pro role prostředí Java EE. Tato předpona je dále používána jako název profilu APPL a vkládá se do názvu profilu používaného pro kontroly CBIND. Pro pole Předpona profilu SAF není k dispozici žádná výchozí hodnota. Pokud předpona není explicitně určena, nedojde k přidání předpony do profilů SAF EJBROLE, jako název profilu APPL bude použita výchozí hodnota CBS390 a do názvu profilu pro kontroly CBIND nebude vkládána žádná hodnota.

Pomocí profilu APPL můžete omezit přístup k produktu WebSphere Application Server.

Pokud jste definovali předponu profilu SAF, bude použit profil APPL určený předponou profilu. V opačném případě bude použit název profilu APPL CBS390. Všechny identity systému z/OS, které používají služby WebSphere, by měly mít oprávnění ke čtení profilu APPL. K těmto identitám patří všechny identity produktu WebSphere Application Server, neověřené identity produktu WebSphere Application Server, administrativní identity produktu WebSphere Application Server, ID uživatelů založená na mapování rolí na uživatele a všechny uživatelské identity systémových uživatelů. Počítejte s tím, že není-li v systému z/OS aktivní třída APPL, nemá tato vlastnost žádný účinek bez ohledu na to, jakou má hodnotu.

Poznámka: Předpona profilu SAF odpovídá vlastnosti com.ibm.security.SAF.profilePrefix.name v souboru security.xml.



Odkazy s označením (online) vyžadují přístup k Internetu.

Související pojmy
Související úlohy
Související odkazy


Název souboru: usec_safpropszos.html