Проверка прав доступа с помощью z/OS System Authorization Facility

Эта страница предназначена для настройки System Authorization Facility (SAF).

Для того чтобы включить проверку прав доступа SAF:
  1. Выберите Защита > Глобальная защита > Внешние модули проверки прав доступа.
  2. Выберите System Authorization Facility (SAF) в выпадающем списке Провайдер проверки прав доступа.
  3. Нажмите кнопку Настроить.
При выборе проверки прав доступа SAF WebSphere Application Server использует стратегию проверки прав доступа, которая хранится в продукте защиты z/OS. Если реестр LDAP или другой настроены, и выбрана проверка прав доступа SAF, сопоставление с субъектом z/OS необходимо при каждом входе в систему для запуска защищенных методов:

Общие параметры для неидентифицированных пользователей, проверки прав доступа SAF и отключения сообщений EJBROLE более не являются пользовательскими параметрами.

При выборе этой опции WebSphere Application Server использует стратегию проверки прав доступа, которая хранится в продукте защиты z/OS.

ИД неидентифицированного пользователя

ИД пользователя MVS, соответствующий незащищенным запросам сервлетов при использовании проверки прав доступа SAF или реестра локальной операционной системы. Длина ИД не должны превышать 8 символов.

Этот параметр используется в следующих ситуациях:
  • Для проверки прав доступа при вызове незащищенным сервлетом сущностного объекта EJB
  • Для идентификации незащищенного сервлета для вызова программы подключения z/OS, такой как Customer Information Control System (CICS) или Information Management System (IMS), использующей текущий субъект при res-auth=container
  • При вызове приложением функции синхронизации с нитью ОС
Дополнительная информация приведена в следующих статьях Information Center:
  • "Синхронизация приложения с нитью ОС
  • "Когда следует использовать опцию Разрешить синхронизацию с нитью ОС"
Сопоставление профайлов SAF

Указывает имя профайла SAF EJBRole, которому соответствует рольJava 2 Platform, Enterprise Edition (J2EE). Указываемое имя должно реализовывать интерфейс com.ibm.websphere.security.SAFRoleMapper.

Дополнительная информация приведена в разделе Создание пользовательского класса преобразования ролей EJB SAF

Включить делегирование SAF

Присваивать определения EJBROLE ИД пользователя MVS, которое становится активным при выборе роли, указываемой RunAs.

Выберите Включить делегирование SAF, только если вы используете Включить проверку прав доступа SAF как внешнее средство проверки прав доступа.

Ограничение доступа к серверу приложений с помощью профайла APPL

Ограничение доступа к серверу WebSphere Application Server с помощью профайла APPL.

Если задан префикс профайла SAF, то применяется префикс профайла APPL. В противном случае применяется профайл APPL с именем CBS390. Все идентификаторы z/OS, использующие службы WebSphere, должны обладать правами на чтение профайла APPL. К ним относятся все ИД пользователей WebSphere Application Server, неидентифицированные ИД пользователей WebSphere Application Server, ИД администраторов WebSphere Application Server, ИД пользователей на основе ролей, а также ИД системных пользователей. Значение этого свойства учитывается только в том случае, если класс APPL активен в системе z/OS.

По умолчанию: Включено.
Не выдавать сообщения о запрете доступа к защищенным продуктам z/OS

Отключить сообщения ICH408I. Значение по умолчанию - false (переключатель не выбран); сообщения не отключаются.

System Management Facility (SMF) ведет протокол нарушений доступа независимо от этого нового параметра. Этот параметр затрагивает создание сообщений о нарушении прав доступа для ролей, определяемых приложением, и динамических ролей сервера приложений для подсистем именования и администрирования. Проверка профайла EJBROLE выполняется и для проверки декларативной защиты, и для проверки программной защиты:
  • Описательные проверки реализуются в виде защитных ограничений в Web-приложениях, а файлы описания - в виде защитных ограничений в объектах JavaBeans (EJB). Это свойство не используется для управления сообщениями в этом случае. Вместо этого разрешается набор ролей, и при возникновении нарушения прав доступа сообщение ICH408I означает сбой одной из ролей. В протокол заносится одна запись о нарушении прав доступа для этой роли.
  • Проверка программных алгоритмов (или проверка прав доступа) выполняется с помощью метода isCallerinRole(x) для объектов EJB и isUserInRole(x) для Web-приложений. Если свойству Стратегия записи контроля SMF задано значение ASIS, NOFAIL или NONE, то свойство com.ibm.security.SAF.EJBROLE.Audit.Messages.Suppress управляет сообщениями, генерируемыми этим вызовом. Подавление сообщений всегда включено для административных ролей, если свойство Стратегия записи контроля SMF имеет значение По умолчанию
Предотвращение неполадок:
  • Если при работе с версией 7.0.0.3 или выше требуется, чтобы сообщения административных ролей не подавлялись при значении По умолчанию свойства Стратегия записи контроля SMF, то необходимо задать свойству com.ibm.security.SAF.EJBROLE.Audit.Messages.Suppress.Admin значение false. Значение, заданное этому свойству, переопределяет любые другие значения, управляющие подавлением сообщений для административных ролей.
  • В случае применения внешней авторизации, например, Tivoli Access Manager или SAF для z/OS, информация, показанная на административной консоли, может не соответствовать данным провайдера. Кроме того, изменения в панели могут не отражаться в провайдере автоматически. Для передачи изменений провайдеру выполните соответствующие инструкции средства проверки прав доступа.
gotcha

Дополнительная информация о проверке прав доступа SAF приведена в статье Information Center "Управление доступом к консоли при использовании реестра локальной ОС". Дополнительная информация об административных ролях приведена в статье Information Center "Административные роли".

По умолчанию: Отключено, т.е. сообщения не отключены.
Стратегия ведения контрольной записи SMF

Определяет, когда следует вносить контрольную запись в System Management Facility (SMF). При каждом вызове для проверки прав доступа RACF или эквивалентный основанный на SAF продукт может вносить контрольную запись в SMF о результате проверки прав доступа.

WebSphere Application Server для z/OS использует SAF операции RACROUTE AUTH и RACROUTE FASTAUTH и передает параметр LOG, указанный в конфигурации защиты. Возможные варианты - DEFAULT, ASIS, NOFAIL и NONE.

В выпадающем списке доступны следующие опции:
DEFAULT

Если указаны несколько ролевых ограничений, например так, что пользователь должен иметь только одну из набора ролей, для всех ролей, кроме последней, выбирается NOFAIL. Тогда если права доступа предоставляются ролью, не являющейся последней, WebSphere Application Server вносит запись об успешной проверке прав доступа. В случае неуспешного предоставления прав доступа последняя роль отмечается как ASIS. Если пользователю присваивается последняя роль, может быть внесена запись об успешной проверке прав доступа. Если пользователю отказано в доступе, может быть внесена запись о неуспешной проверке прав доступа.

ASIS
Записывать события контроля по правилам, определенным в профайле, защищающем ресурс, или по правилам, указанным в SETROPTS.
NOFAIL
Не записывать сообщения о неуспешном предоставлении прав доступа. При этом сообщения об успешном предоставлении прав доступа могут записываться.
Нет
Не записывать сообщения о предоставлении прав доступа.

Даже если выполняется несколько вызовов для проверки прав доступа SAF, то в случае непредоставления прав доступа соответствующее сообщение записывается только один раз. Дополнительные сведения об опциях LOG для RACROUTE AUTH и RACROUTE FASTAUTH приведены в документации RACF или эквивалентного продукта, основанного на SAF.

Префикс профайлов SAF

Префикс, который будет добавлен ко всем профайлам SAF EJBROLE, используемым для ролей Java EE. Кроме того, префикс используется в качестве имени профайла APPL и входит в состав имени профайла, используемого для проверок CBIND. Для поля префикса профайлов SAF значение по умолчанию не предусмотрено. Если префикс не задан явно, то к профайлам SAF EJBROLE префикс не добавляется, в качестве имени профайла APPL используется значение по умолчанию CBS390, а в имя профайла, используемого для проверок CBIND, ничего дополнительно не включается.

С помощью профайла APPL можно ограничить доступ к серверу WebSphere Application Server.

Если задан префикс профайла SAF, то применяется префикс профайла APPL. В противном случае применяется профайл APPL с именем CBS390. Все идентификаторы z/OS, использующие службы WebSphere, должны обладать правами на чтение профайла APPL. К ним относятся все ИД пользователей WebSphere Application Server, неидентифицированные ИД пользователей WebSphere Application Server, ИД администраторов WebSphere Application Server, ИД пользователей на основе ролей, а также ИД системных пользователей. Значение этого свойства учитывается только в том случае, если класс APPL активен в системе z/OS.

Прим.: Префикс профайла SAF соответствует свойству com.ibm.security.SAF.profilePrefix.name из файла security.xml.



Ссылки, помеченные как (в сети), требуют подключения к Internet.

Понятия, связанные с данным
Задачи, связанные с данной
Ссылки, связанные с данной


Имя файла: usec_safpropszos.html