Autorizarea z/OS System Authorization Facility (SAF)

Utilizaţi această pagină pentru a configura System Authorization Facility (SAF) şi proprietăţile autorizării SAF.

Pentru a activa autorizarea SAF:
  1. Apăsaţi pe Securitate > Securitate globală > Furnizori de autorizare externi.
  2. Selectaţi System Authorization Facility (SAF) din lista derulantă de sub Furnizor autorizare.
  3. Apăsaţi butonul Configurare.
Când selectaţi autorizaţia SAF, WebSphere Application Server utilizează politica de autorizare care este stocată în produsul de securitate z/OS pentru autorizare. Dacă un registru Lightweight Access Directory Protocol (LDAP) sau registru personalizat este configurat şi se specifică autorizarea SAF, este necesară o mapare la un principal z/OS la fiecare logare pentru ca vreo metodă protejată să ruleze:

Proprietăţile comune pentru utilizatorul neautentificat, autorizaţia SAF şi suprimarea mesajului SAF EJBROLE nu mai sunt proprietăţi personalizate.

Când selectaţi această opţiune, WebSphere Application Server utilizează politica de autorizare care este stocată în produsul de securitate z/OS pentru autorizare.

ID utilizator neautentificat

Specifică ID-ul de utilizator MVS care este utilizat pentru a reprezenta cereri de servlet neprotejate când se specifică autorizaţia SAF sau este configurat un registru de sistem de operare local. Acest ID de utilizator trebuie să fie de maxim 8 caractere lungime.

Această definiţie de proprietate este utilizată în următoarele instanţe:
  • Pentru autorizare dacă un servlet neprotejat invocă un bean de entitate
  • Pentru identitficarea unui servlet neprotejat pentru invocarea unui conector z/OS precum Customer Information Control System (CICS) sau Information Management System (IMS) care utilizează o identitate curentă când res-auth=container
  • Când se încearcă o funcţie iniţiată de aplicaţie Sync la fir de execuţie OS
Pentru informaţii suplimentare, consultaţi următoarele articole din Centrul de informare:
  • "Înţelegerea permisiunii de aplicaţie Sync la fir de execuţie OS"
  • "Când să se utilizeze permisiunea de aplicaţie Sync la fir de execuţie OS"
Mapator profil SAF

Specifcă numele profilului SAF EJBRole la care este mapat un nume de rol Java 2 Platform, Enterprise Edition (J2EE). Numele pe care -l specificaţi implementează interfaţa com.ibm.websphere.security.SAFRoleMapper.

Pentru informaţii suplimentare, consultaţi Dezvoltare mapator SAF rol EJB personalizat

Activare delegaţie SAF

Specifică faptul că definiţiile SAF EJBROLE sunt alocate identităţii de utilizator MVS care devine identitatea activă când selectaţi rolul specificat RunAs.

Selectaţi opţiunea Activare delegaţie SAF numai dacă selectaţi opţiunea Activare autorizare SAF ca furnizor de autorizare extern.

Utilizaţi profilul APPL pentru a restricţiona accesul la serverul de aplicaţii

Utilizaţi profilul APPL pentru a restricţiona accesul la WebSphere Application Server.

Dacă aţi definit un prefix de profil SAF, profilul APPL utilizat este prefixul profilului. Altfel, numele profilului APPL este CBS390. Toate identităţile z/OS care utilizează serviciile WebSphere ar trebui să aibă permisiunea de citire (READ) la profilul APPL. Asta include toate identităţile WebSphere Application Server, identităţile neautentificate WebSphere Application Server, identităţile administrative WebSphere Application Server, ID-urile de utilizator bazate pe mapările rol-la-utilizator şi toate identităţile de utilizator pentru utilizatorii sistemului. Dacă clasa APPL nu este activă pe sistemul z/OS, atunci această proprietate nu are efect, indiferent de valoarea sa.

Implicit: Activat.
Suprimaţi mesajele eşuate de autorizare de la produsul de securitate z/OS

Specifică dacă mesajele ICH408I sunt pornite sau oprite. Valoarea implicită pentru aceste setări este false (nebifat), ceea ce nu suprimă mesajele.

Înregistrările System Management Facility (SMF) accesează încălcări indiferent ce valoare este specificată pentru această nouă proprietate. Această proprietate afectează generarea mesajelor de încălcare a accesului pentru roluri definite de aplicaţii pentru rolurile definite runtime de server de aplicaţii pentru subsistemele administrative şi de numire. Verificările de profil EJBROLE se fac pentru verificări declarative şi programatice:
  • Verificările declarative sunt codate ca constrângeri de securitate în aplicaţii web şi descriptorii de implementare sunt codaţi ca constrângeri de securitate în fişierele Enterprise JavaBeans (EJB). Această proprietate nu este utilizată pentru a controla mesajele în acest caz. În schimb, este permis un set de roluri şi dacă apare vreo încălcare a accesului, un mesaj de încălcare a accesului ICH408I indică o defectare pentru unul dintre roluri. SMF înregistrează apoi în istoric o singură încălcare a accesului pentru acel rol.
  • Verificările de logică program sau verificările accesului sunt realizate utilizând metoda programatică isCallerinRole(x) pentru bean-uri de întreprindere sau metoda isUserInRole(x) pentru aplicaţii web. Dacă proprietatea strategiei de înregistrare de auditare SMF este setată la ASIS, NOFAIL sau NONE, proprietatea com.ibm.security.SAF.EJBROLE.Audit.Messages.Suppress controlează mesajele care sunt generate de acest apel. Suprimarea mesajelor este mereu activată pentru rolurile administrative dacă proprietatea strategiei de înregistrare de auditare SMF este setată la Implicit
Evitare probleme:
  • Dacă rulaţi pe Versiunea 7.0.0.3 sau ulterioară şi nu doriţi suprimarea mesajelor de rol administrativ când strategia de înregistrare de auditare SMF este setată la Implicit, setaţi proprietatea com.ibm.security.SAF.EJBROLE.Audit.Messages.Suppress.Admin la false. Valoarea specificată pentru această proprietate înlocuieşte orice altă setare care guvernează suprimarea mesajelor pentru roluri administrative.
  • Când o autorizaţie de terţă parte precum Tivoli Access Manager sau SAF pentru z/OS este utilizată, informaţiile din acest panou s-ar putea să nu reprezinte datele din furnizor. De asemenea, toate modificările asupra panoului s-ar putea să nu se reflecte în furnizor automat. Urmaţi instrucţiunile furnizorului pentru a propaga vreo modificare făcută la furnizor.
gotcha

Pentru informaţii suplimentare despre autorizarea SAF, consultaţi "Controlarea accesului la utilizatorii consolei când se utilizează un registru OS local" din Centrul de informare. Pentru informaţii suplimentare despre rolurile administrative, consultaţi "Roluri administrative" în Centrul de informare.

Implicit: Dezactivat, ceea ce nu suprimă mesajele.
Strategie de înregistrare de auditare SMF

Determină când este scrisă o înregistrare de auditare în Management Facility (SMF). La fiecare apel de autorizare, RACF sau un produs bazat pe SAF exhivalent poate scrie o înregistrare de auditare la SMF cu rezultatul verificării autorizării.

WebSphere Application Server for z/OS utilizează operaţiile SAF RACROUTE AUTH şi RACROUTE FASTAUTH şi transmite opţiunea LOG care este specificată în configuraţia securităţii. Opţiunile sunt DEFAULT, ASIS, NOFAIL şi NONE.

Sunt disponibile următoarele opţiuni din lista derulantă:
DEFAULT

Când se specifică mai multe constrângeri de rol, cum ar fi că un utilizator trebuie să fie într-unul din seturile de roluri, toate rolurile cu excepţia ultimului rol sunt verificate cu opţiunea NOFAIL. Dacă autorizaţia este acordată într-unul din rolurile de dinaintea ultimului rol, WebSphere Application Server scrie o înregistrare de succes de autorizare. Dacă autorizaţia nu are succes în aceste roluri, ultimul rol este verificat cu opţiunea de înregistrare în istoric ASIS. Dacă utilizatorul este autorizat la ultimul rol, ar putea fi scrisă o înregistrare cu succes. Dacă utilizatorul nu este autorizat, ar putea fi scrisă o înregistrare de eşuare.

ASIS
Specifică faptul că evenimentele de auditare sunt înregistrate în maniera care este specificată în profilul care protejează resursa sau în maniera care este specificată de opţiunile SETROPTS.
NOFAIL
Specifică faptul că nu sunt înregistrate eşuările. Mesajele de eşuare a autorizării nu sunt emise, dar ar putea fi scrise înregistrări de auditare a autorizării cu succes.
NONE
Specifică faptul că nu se înregistrează nici succesele nici eşuările.

O singură înregistrare de autorizare eşuată este scrisă pentru o verificare de autorizare J2EE chiar dacă se fac mai multe apeluri de autorizare SAF. Pentru informaţii suplimentare despre opţiunile LOG pentru SAF RACROUTE AUTH şi RACROUTE FASTAUTH, consultaţi RACF sau documentaţia produsului bazat pe SAF echivalent.

Prefix profil sAF

Specifică un prefix care va fi adăugat la toate profilurile SAF EJBROLE utilizate pentru rolurile Java EE. Acest prefix este utilizat şi ca nume de profil APPL şi este inserat în numele de profil utilizat pentru verificările CBIND. Nu există nici o valoare implicită pentru câmpul prefixului de profil SAF. Dacă nu se specifică explicit un prefix, atunci nu se adaugă nici un prefix la profilurile SAF EJBROLE, valoarea implicită a CBS390 va fi utilizată ca nume de profil APPL şi nimic nu se inserează în numele de profil pentru verificările CBIND.

Puteţi utiliza profilul APPL pentru a restricţiona accesul la WebSphere Application Server

Dacă aţi definit un prefix de profil SAF, profilul APPL utilizat este prefixul profilului. Altfel, numele profilului APPL este CBS390. Toate identităţile z/OS care utilizează serviciile WebSphere ar trebui să aibă permisiunea de citire (READ) la profilul APPL. Asta include toate identităţile WebSphere Application Server, identităţile neautentificate WebSphere Application Server, identităţile administrative WebSphere Application Server, ID-urile de utilizator bazate pe mapările rol-la-utilizator şi toate identităţile de utilizator pentru utilizatorii sistemului. Reţineţi că dacă clasa APPL nu este activă pe sistemul z/OS, atunci această proprietate nu are efect, indiferent de valoarea sa.

Note: Prefixul profilului SAF corespunde proprietăţii com.ibm.security.SAF.profilePrefix.name, în fişierul security.xml.



Legăturile marcate (online) necesită acces la internet.

Related concepts
Related tasks
Related reference


Nume fişier: usec_safpropszos.html