Opţiuni de securitate z/OS

Utilizaţi această pagină pentru a determina ce opţiuni de securitate globală să se specifice pentru serverul de aplicaţii pentru z/OS.

Pentru a vizualiza această pagină de consolă administrativă, apăsaţi pe Securitate > Securitate globală > Opţiuni de securitate z/OS.

De asemenea, puteţi vizualiza această pagină de consolă administrativă finalizând următorii paşi:
  1. Apăsaţi pe Servere > Tipuri de servere > Servere de aplicaţii WebSphere > server_name.
  2. Din Securitate, apăsaţi pe Domeniu server.
  3. Apăsaţi pe Opţiuni de securitate z/OS.

Dacă configuraţi securitatea pentru orima dată, finalizaţi paşii din articolul Securitate globală înainte de a face modificări. După ce este configurată securitatea, validaţi toate modificările asupra registrului de utilizatori sau a panourilor de mecanism de autentificare. Apăsaţi pe Aplicare pentru a valida setările registrului de utilizatori. Se face o încercare de a autentifica ID-ul serverului la registrul de utilizatori configurat. Validarea setărilor registrului de utilizatori după activarea securităţii globale poate reduc potenţialele probleme când reporniţi serverul prima dată.

Identitate la distanţă

Specifică ID-ul de utilizator System Authorization Facility (SAF) care este presupus pentru clienţii neautentificaţi Internet Inter-ORB Protocol (IIOP) care fac cereri ale acestui server de la alt sistem.

Specifică dacă este permisă o identitate la distanţă a aplicaţiei.

Note: Aceste informaţii se aplică Versiunii 6.0.x şi serverelor anterioare numai care sunt federalizate într-o celulă Versiunea 6.1.
Identitate locală

Specifică ID-ul de utilizator SAF care este presupus pentru clienţii neautentificaţi Internet Inter-ORB Protocol (IIOP) care fac cereri ale acestui server de la acelaşi sistem.

Specifică dacă este permisă identitatea locală a aplicaţiei.

Note: Aceste informaţii se aplică Versiunii 6.0.x şi serverelor anterioare numai care sunt federalizate într-o celulă Versiunea 6.1.
Activaţi serverul de aplicaţii şi sincronizarea identităţii firului de execuţie z/OS

Specifică faptul că serverele de aplicaţii pot procesa opţiunea SyncToOSThread pentru componentele de aplicaţii care o specifică.

Selectarea acestei opţiuni indică dacă o identitate de fir de execuţie de sistem de operare este activată pentru sincronizarea cu identitatea Java Platform, Enterprise Edition (Java EE) care este utilizată în runtime-ul serverului de aplicaţii când o aplicaţie este codată să ceară această funcţie.

Sincronizarea identităţii sistemului de operare cu identitatea Java EE face ca identitatea sistemului de operare să se sincronizeze cu apelantul autentificat sau identitatea RunAs delegată într-un servlet sau fişier Enterprise JavaBeans (EJB). Această sincronizare sau asociere înseamnă că apelantul sau identitatea rolului de securitate, mai degrabă decât identitatea regiunii serverului, se utilizează pentru cererile de serviciu sistem z/OS cum ar fi accesul la fişiere.

Pentru ca această funcţie să fie activă, următoarele condiţii trebuie să fie toate adevărate:
  • Valoarea permisă Sync la fir de execuţie OS este true.
  • O aplicaţie include în descriptorul său de implementare o intrare env de com.ibm.websphere.security.SyncToOSThread setată la true.
  • Magazia de conturi de utilizator configurată este sistemul de operare local.

Când sunt adevărate aceste condiţii, identitatea firului de execuţie OS este setată iniţial la identitatea apelantului autentificat a unei cereri web sau EJB. Firul de execuţie OS este modificat de fiecare dată când se modifică identitatea Java EE. Identitatea Java EE poate fi modificată fie printr-o specificaţie RunAs pe descriptorul de implementare, fie de o cerere programatică WSSubject.doAs().

Dacă valoarea permisă Sync la fir de execuţie OS este false, care este setarea implicită, abilitatea de a modifica identitatea pe firul de execuţie al sistemului de operare al setării descriptorului de implementare din descriptorul de implementare al aplicaţiei instalate este dezactivată. Dacă serverul nu este configurat să accepte activarea sincronizării şi descriptorul de implementare a aplicaţiei, com.ibm.websphere.security.SyncToOSThread, este setat la true, un mesaj de avertisment BBOJ0080W indică faptul că EJB cere opţiunea SyncToOSThread, dar serverul nu este activat pentru opţiunea SyncToOSThread.

Important: Această opţiune creşte semnificativ numărul de înregistrări SMF 80 utilizate pentru auditarea securităţii. Când este pornită auditarea securităţii pentru înregistrările SMF 80, cantitatea de DASD utilizată creşte semnificativ.

Activaţi identitatea firului de execuţie RunAs al managerului de conexiuni

Setează identitatea MVS asociată cu identitatea Java Platform, Enterprise Edition (Java EE) de pe firul de execuţie. Conectorii Java EE Connector architecture (J2CA) locali ar putea onora identitatea MVS pentru autentificare şi autorizare când o aplicaţie cere o conexiune.

Când activaţi această setare, metoda poate procesa o cerere care modifică identitatea sistemului de operare pentru a reflecta identitatea Java Platform, Enterprise Edition (Java EE). Această funcţie este necesară pentru a beneficia de suportul identităţii firului de execuţie. Conectorii Java EE Connector architecture (J2CA) care accesează resurse locale pe un sistem z/OS pot utiliza suportul identităţii firului de execuţie. Un set de conectori J2CA care accesează resurse z/OS locale are ca valoare implicită identitatea Java EE a aplicaţiei dacă toate din următoarele condiţii sunt adevărate:
  • Autorizarea resurselor este setată la gestionată de container (res-auth=container).
  • O intrare alias nu este codată când se implementează aplicaţia.
  • Setarea managerului de conexiuni Sync la firul de execuţie OS este setată la activat.

De exemplu, dacă aveţi o politică de securitate DB2 for z/OS pre-existentă care controlează ce utilizatori au acces la fiecare tabelă, doriţi să aveţi întărită acea politică când utilizatorii accesează aplicaţii WebSphere care la rândul lor accesează DB2 for z/OS. Identitatea Java EE (identitatea de client implicit) şi nu identitatea sistemului de operare (identitate server) este utilizată pentru a stabili conexiuni la DB2 for z/OS când se selectează Connection Manager RunAs Identity Enabled. Accesul de tabelă DB2 for z/OS pentru aplicaţie este determinat utilizându-vă politica de securitate DB2 for z/OS pre-existentă.

Orice conector J2CA care utilizează suportul de identitate fir de execuţie trebuie să suporte identitatea firului de execuţie. Customer Information Control System (CICS), Information Management System (IMS), şi DATABASE 2 (DB2) suportă identitatea firului de execuţie. CICS şi IMS suportă identitatea firului de execuţie numai dacă destinaţia CICS sau IMS este configurată pe acelaşi sistem ca serverul de aplicaţii pentru z/OS. DB2 întotdeauna suportă identitatea firului de execuţie. Dacă un conector nu suport identitatea firului de execuţiel, identitatea utilizatorului care este asociat cu conexiunea se bazează pe identitatea utilizatorului implicit care este suportat de conectorul particular.

Tip de date Boolean
Implicit Dezactivat
Interval Activat sau Dezactivat



Legăturile marcate (online) necesită acces la internet.

Related concepts
Related tasks
Related reference
Setări de securitate globale


Nume fişier: usec_zos_globalsec.html