z/OS rendszerhitelesítési szolgáltatás (SAF) hitelesítés

Az oldal segítségével állíthatók be a Rendszer hitelesítés szolgáltatás (SAF) és a SAF hitelesítési tulajdonságok.

SAF hitelesítés engedélyezéséhez:
  1. Kattintson a Biztonság > Globális biztonság > Külső hitelesítési szolgáltatók elemre.
  2. A Hitelesítési szolgáltató alatt válassza a Rendszerjogosultsági szolgáltatás (SAF) bejegyzést a legördülő listából.
  3. Kattintson a Beállítás gombra.
A SAF hitelesítés választásakor a WebSphere Application Server a z/OS biztonsági termékben tárolt hitelesítési irányelvet használja hitelesítéshez. LDAP nyilvántartás vagy egyéni nyilvántartás beállítása és SAF hitelesítés megadása esetén minden futtatandó védett módszerre minden bejelentkezéshez z/OS azonosítót kell kiosztani:

A jogosulatlan felhasználó, SAF hitelesítés és a SAF EJBROLE üzenet tiltás tulajdonságai már nem egyéni tulajdonságok.

A lehetőség választásakor a WebSphere Application Server a z/OS biztonsági termékben tárolt hitelesítési irányelvet használja hitelesítéshez.

Jogosulatlan felhasználói azonosító

Meghatározza a SAF hitelesítés konfigurálásakor vagy helyi operációs rendszer rendszernyilvántartásának beállításakor a nem védett kiszolgáló kisalkalmazás kéréseket képviselő MVS felhasználói azonosítót. A felhasználói azonosító legfeljebb 8 karakter hosszú lehet.

Ez a tulajdonság meghatározás az alábbi esetekben használt:
  • Hitelesítéskor, ha egy nem védett kiszolgáló kisalkalmazás egy komponens példányt hív meg
  • Nem védett kiszolgáló kisalkalmazás azonosításakor, egy z/OS csatoló, például CICS vagy IMS meghívásához, mely res-auth=container esetben aktuális azonosságot használ
  • Alkalmazás által kezdeményezett Synch to OS szálfunkció megkísérlése esetén
További információkért tanulmányozza az információs központ alábbi fejezeteit:
  • "A Synch to OS Szálengedélyezett alkalmazás bemutatása"
  • "Mikor használandó a Synch to OS Szál engedélyezett alkalmazás"
SAF profil kiosztó

Megadja az SAF EJBRole profil nevét, amelyhez Java 2 Platform, Enterprise Edition (J2EE) szerepkör név tartozik. A megadott név megvalósítja a com.ibm.websphere.security.SAFRoleMapper felületet.

További információk lásd: Egyéni SAF EJB szerepleképező fejlesztése

SAF delegálás engedélyezése

Megadja, hogy az SAF EJBROLE meghatározások az MVS felhasználói azonossághoz hozzárendeltek, melyek a FuttatásMint meghatározott szerepkör választásával az aktív azonosság lett.

Az SAF delegálás engedélyezése lehetőséget csak akkor válassza ki, ha külső hitelesítési szolgáltatóként kiválasztja az SAF hitelesítés engedélyezése lehetőséget is.

APPL profil használata az alkalmazáskiszolgáló elérésének korlátozásához

Az APPL profil használatával korlátozhatja a WebSphere Application Server elérését.

Ha meghatározott SAF profil előtagot, akkor a használt APPL profil a profil előtag. Máskülönben az APPL profil neve CBS390. A WebSphere szolgáltatásokat használó összes z/OS azonosságnak READ (olvasás) jogosultsággal kell rendelkeznie az APPL profilhoz. Ebbe beletarozik az összes WebSphere Application Server azonosság, WebSphere Application Server nem hitelesített azonosság, WebSphere Application Server adminisztrációs azonosság, a szerepről felhasználóra leképezéseken alapuló felhasználói azonosítók, valamint a rendszerfelhasználók felhasználói azonossága. Ha az APPL osztály nem aktív a z/OS rendszeren, akkor a tulajdonságnak nincs hatása, bármi is az értéke.

Alapértelmezett: Engedélyezett
Hitelesítés meghiúsult üzenetek elnyomása a z/OS biztonsági termékben

Meghatározza az ICH408I üzenetek ki- vagy bekapcsolt állapotát. A beállítás alapértelmezett értéke false (hamis), mely nem kapcsolja ki az üzeneteket.

A System Management Facility (SMF) feljegyzi a hozzáférés megsértéseket, függetlenül attól, hogy milyen érték van megadva ehhez az új tulajdonsághoz. A tulajdonság hatással van a hozzáférés megsértés üzenet létrehozására mind az alkalmazás által megadott szerepkörök, mind az elnevezés és adminisztrációs alrendszerek alkalmazáskiszolgálói környezet szerepkörei esetén. EJBROLE profil ellenőrzések történnek a deklarációs és a programozható ellenőrzések esetén is:
  • A leíró ellenőrzések a webalkalmazásokban, a telepítésleírók pedig pedig az EJB (Enterprise JavaBeans) fájlokban kódoltak biztonsági megszorításokként. Ez a tulajdonság ebben az esetben nem vezérli az üzeneteket. Helyette bizonyos szerepek megengedettek, és ha hozzáférés megsértés történik, akkor egy ICH408I hozzáférés megsértés üzenet jelzi a szerepek egyikének hibáját. Az SMF aztán naplóz egy egyedülálló hozzáférés megsértést ahhoz a szerephez.
  • A program ellenőrzések vagy hozzáférés ellenőrzések vállalati komponensre az isCallerinRole(x), webalkalmazásokra pedig az isUserInRole(x) programozható funkciók alkalmazásával valósulnak meg. Ha a SMF felügyeleti rögzítés stratégia tulajdonság ASIS, NOFAIL, vagy NONE értékre van beállítva, akkor a com.ibm.security.SAF.EJBROLE.Audit.Messages.Suppress tulajdonság felügyeli a hívás által létrehozott üzeneteket. Az adminisztrációs szerepkörök számára mindig engedélyezett az üzenet tiltás, ha a SMF felügyeleti rögzítés stratégia Alapértelmezett beállított értékkel rendelkezik
Hiba elkerülése:
  • Ha 7.0.0.3 változattal vagy újabbal rendelkezik, és nem akarja az SMF felügyeleti rögzítés stratégia Alapértelmezett értéke esetén az adminisztrációs szerepkör üzenetek tiltását, akkor állítsa be a com.ibm.security.SAF.EJBROLE.Audit.Messages.Suppress.Admin tulajdonságot false értékre. A tulajdonság számára megadott érték újradefiniál minden egyéb beállítást, ami az adminisztrációs szerepkör üzenettiltására vonatkozik.
  • Harmadik féltől származó hitelesítés, például Tivoli Access Manager vagy z/OS SAF használatakor az adminisztrációs konzol panelben található információk nem feltétlenül egyeznek meg a szolgáltatónál lévő adatokkal. Hasonlóképp nem biztos, hogy a panelen elvégzett módosítások a szolgáltatónál automatikusan megjelennek. A módosítások szolgáltató felé terjesztése érdekében kövesse a szolgáltató útmutatásait.
gotcha

A SAF hitelesítéssel kapcsolatos további információkért tanulmányozza az információs központ Konzol felhasználók elérésének irányítása helyi operációs rendszer nyilvántartás használatakor fejezetét. Az adminisztrációs szerepkörökről az információs központ Adminisztrációs szerepkörök fejezetében találhatók további információk.

Alapértelmezett: Tiltott, mely nem kapcsolja ki az üzeneteket.
SMF felügyeleti rögzítés stratégia

A Rendszerfelügyelet szolgáltatásba (SMF) felügyeleti bejegyzés rögzítését határozza meg. Minden hitelesítési hívás esetén az RACF vagy egy egyenértékű SAF alapú termék egy felügyeleti bejegyzést írhat a Rendszerfelügyelet szolgáltatásba (SMF), a hitelesítési ellenőrzés eredményével.

A WebSphere Application Server for z/OS a SAF RACROUTE AUTH és a RACROUTE FASTAUTH műveleteket használja és átadja a biztonsági konfigurációban megadott LOG paramétert. A paraméterek: DEFAULT, ASIS, NOFAIL, és NONE.

Az alábbi lehetőségek állnak rendelkezésre a legördülő listában:
Alapértelmezés

Több szerep korlátozása esetén, amikor egy felhasználónak a szerepkörök közül egyet kell választania, az utolsó kivételével az összes szerepkör átvizsgált a NOFAIL paraméterrel. Ha a hitelesítés valamelyik utolsó előtt álló szerepkörre megadott, akkor a WebSphere Application Server egy hitelesítési sikerességi bejegyzést ír. Ha a hitelesítés nem sikeres ezekre a szerepkörökre, akkor az utolsó szerepkört átvizsgált az ASIS naplózási paraméterrel. Ha a felhasználó az utolsó szerepkörrel hitelesített, akkor egy sikerességi bejegyzés írható be. Ha a felhasználó nem hitelesített, akkor egy sikertelenségi bejegyzés írható be.

ASIS
Meghatározza, hogy a vizsgálati események az erőforrást védő profilban megadott módon vagy a SETROPTS paraméter által megadott módon legyenek feljegyezve.
NOFAIL
Meghatározza, hogy a sikertelenség ne legyen rögzítve. Nincsenek hitelesítési sikertelenség üzenetek, de sikeres hitelesítés felügyeleti bejegyzések létezhetnek.
NINCS
Meghatározza, hogy sem sikerességi, sem sikertelenségi események ne legyenek rögzítve.

Sikertelen J2EE hitelesítési ellenőrzéskor több SAF hitelesítési hívás esetén is csak egy hitelesítési sikertelenségi bejegyzés képződik. A LOG paraméterekről SAF RACROUTE AUTH és RACROUTE FASTAUTH esetén további információk a RACF vagy egyenértékű SAF alapú termék documentációban találhatók.

SAF profil előtag

Megad egy előtagot, amely a Java EE szerepekhez használt összes SAF EJBROLE profilhoz hozzáadásra kerül. Ez a profil az APPL profil neveként is felhasználásra kerül, és a CBIND ellenőrzésekhez használt profilnévbe is beilleszti a rendszer. A SAF profil előtag mezőnek nincs alapértelmezett értéke. Ha egy előtag nincs kifejezetten meghatározva, akkor nem adódik előtag a SAF EJBROLE profilokhoz, és az alapértelmezett CBS390 érték kerül felhasználásra APPL profilnévként, a CBIND ellenőrzések profilneve pedig nem bővül semmivel.

Az APPL profil használatával korlátozhatja a WebSphere Application Server elérését

Ha meghatározott SAF profil előtagot, akkor a használt APPL profil a profil előtag. Máskülönben az APPL profil neve CBS390. A WebSphere szolgáltatásokat használó összes z/OS azonosságnak READ (olvasás) jogosultsággal kell rendelkeznie az APPL profilhoz. Ebbe beletarozik az összes WebSphere Application Server azonosság, WebSphere Application Server nem hitelesített azonosság, WebSphere Application Server adminisztrációs azonosság, a szerepről felhasználóra leképezéseken alapuló felhasználói azonosítók, valamint a rendszerfelhasználók felhasználói azonossága. Fontos, hogy ha az APPL osztály nem aktív a z/OS rendszeren, akkor a tulajdonságnak nincs hatása, bármi is az értéke.

Megjegyzés: A SAF profil előtag a com.ibm.security.SAF.profilePrefix.name tulajdonságnak felel meg a security.xml fájlban.



A jelzett hivatkozások (online) Internet-hozzáférést igényelnek.

Kapcsolódó fogalmak
Kapcsolódó feladatok
Kapcsolódó hivatkozás


Fájlnév: usec_safpropszos.html