z/OS biztonsági beállítások

Az oldal segítségével a z/OS alkalmazáskiszolgálójának Globális biztonsági beállításai határozhatók meg.

Az alábbi adminisztrációs konzol oldal megtekintéséhez kattintson a Biztonság > Globális biztonság > z/OS biztonsági beállítások elemre.

Az adminisztrációs konzol ezen oldala a következő lépések végrehajtásával is elérhető:
  1. Kattintson a Kiszolgálók > Kiszolgálótípusok > WebSphere alkalmazáskiszolgálók > kiszolgáló_neve elemre.
  2. A Biztonság alatt kattintson a Kiszolgáló tartomány lehetőségre.
  3. Kattintson a z/OS biztonsági beállítások elemre.

A biztonság első beállításakor a módosítások végrehajtása előtt a Globális biztonsági cikken tegye a következőket. Biztonság beállítása után érvényesítsen minden módosítást a Felhasználói nyilvántartás vagy a Hitelesítési mechanizmusok paneleken. A felhasználói nyilvántartás beállítások érvényesítéséhez kattintson az Alkalmaz gombra. A rendszer megpróbálja a kiszolgáló azonosítót a konfigurált felhasználói nyilvántartáshoz hitelesíteni. A Globális biztonság engedélyezése után, a felhasználói nyilvántartás beállításainak érvényesítése a kiszolgáló első újraindításakor, csökkentheti a lehetséges problémákat.

Távoli azonosság

Az IIOP jogosulatlan ügyfelekhez rendelt SAF felhasználói azonosítót határozza meg, mely más rendszerektől kéréseket indít a kiszolgáló felé.

Alkalmazás távoli azonosság engedélyezését határozza meg.

Megjegyzés: Ezek az információk csak 6.1 változatú cellában egyesített 6.0.x és korábbi változatú kiszolgálókra vonatkoznak.
Helyi azonosság

Az IIOP jogosulatlan ügyfelekhez rendelt SAF felhasználói azonosítót határozza meg, mely ugyanabból a rendszerből indít kéréseket a kiszolgáló felé.

Alkalmazás helyi azonosság engedélyezését határozza meg.

Megjegyzés: Ezek az információk csak 6.1 változatú cellában egyesített 6.0.x és korábbi változatú kiszolgálókra vonatkoznak.
Alkalmazáskiszolgáló és z/OS szálazonosság szinkronizálás engedélyezése

Azt mutatja, hogy az alkalmazáskiszolgálók képesek feldolgozni a SyncToOSThread beállítást olyan alkalmazás összetevőknél, amelyek azt meghatározzák.

A beállítás kiválasztása jelzi, hogy az operációs rendszer szálazonosságának szinkronizálása engedélyezett-e a Java Platform, Enterprise Edition (Java EE) azonossággal, amely az alkalmazáskiszolgáló futási környezetében kerül felhasználásra, ha egy alkalmazás úgy van kódolva, hogy ezt a funkciót kérje.

Az operációs rendszer azonosság és a Java EE azonosság szinkronizálása az operációs rendszer azonosságnak egy kiszolgáló kisalkalmazásban vagy Enterprise JavaBeans (EJB) fájlban a hitelesített hívóval vagy delegált FuttatásMint azonossággal megvalósuló szinkronizálását eredményezi. Ez a szinkronizálás vagy hozzárendelés azt jelenti, hogy a kiszolgáló terület azonosság helyett a hívó vagy biztonsági szerepkör használt a z/OS rendszerkérésekhez, például fájlhozzáféréshez.

Az aktív funkcióhoz az alábbi feltételeknek kell teljesülniük:
  • A Sync to OS szál engedélyezett értéke igaz.
  • Egy alkalmazás a telepítésleírójában tartalmaz egy igaz értékre állított com.ibm.websphere.security.SyncToOSThread környezeti változót.
  • A felhasználói fiók lerakat a helyi operációs rendszerre beállított.

A feltételek teljesülése esetén az operációs rendszer szálazonosság kiinduló értéke egy web vagy EJB kérés hitelesített hívó azonossága. Az operációs rendszer szál a Java EE azonosság minden egyes változtatásakor módosul. A Java EE azonosság módosítható egy FuttatásMint meghatározással a telepítésleíróban vagy egy programozható WSSubject.doAs() kéréssel.

Ha a Sync to OS szál engedélyezett értéke az alapértelmezett hamis, akkor az operációs rendszer azonosság módosításának képessége a telepített alkalmazás telepítésleírójában tiltott. Ha a kiszolgáló nincs beállítva a szinkronizálás engedélyezés elfogadására és a com.ibm.websphere.security.SyncToOSThread alkalmazás telepítésleíró igaz, akkor egy BBOJ0080W figyelmeztetés jelzi, hogy az EJB kérés a SyncToOSThread beállítást igényli, de erre a kiszolgáló nem engedélyezett.

Fontos: Ez a beállítás jelentősen növeli a biztonsági megfigyelés céljára használt SMF 80 feljegyzések számát. Ha az SMF 80 feljegyzések biztonsági felülvizsgálata bekapcsolt, akkor a használt DASD mennyiség jelentősen megnövekszik.

Kapcsolatkezelő RunAs szál azonosság engedélyezése

Beállítja az MVS azonosságot, amely a Java Platform, Enterprise Edition (Java EE) azonossághoz tartozik a végrehajtási szálon. Lehetséges, hogy a helyi Java EE Connector architecture (J2CA) csatolók támogatják az MVS azonosságot hitelesítés és felhatalmazás céljára, ha egy alkalmazás kapcsolatot kér.

A beállítás engedélyezése esetén a módszer feldolgozhatja az operációs rendszer azonosságát módosító kérést, hogy az a Java Platform, Enterprise Edition (Java EE) azonosságot tükrözze. Ez a funkció szükséges a szálazonosság támogatás kihasználása érdekében. A z/OS rendszer helyi erőforrásaihoz hozzáférő Java EE kapcsolat architektúra (J2CA) csatolók képesek használni a szálazonosság támogatást. A helyi z/OS erőforrásokat elérő J2CA csatolók alapértelmezésben az alkalmazás Java EE azonosságát kapják, ha az alábbi összes feltétel teljesül:
  • Az erőforrás hitelesítés tároló által kezelt (res-auth=container).
  • Az alkalmazás telepítésekor az álnév bejegyzés nem kódolt.
  • A kapcsolatkezelő Sync to OS szál beállítása engedélyezett.

Ha például már rendelkezik egy meglévő DB2 for z/OS biztonsági stratégiával, amely azt irányítja, hogy mely felhasználók férhetnek hozzá az egyes táblákhoz, akkor ezt a stratégiát alkalmazhatja akkor is, amikor a felhasználók olyan WebSphere alkalmazásokhoz férnek hozzá, melyek szintén a DB2 for z/OS rendszerhez férnek hozzá. Inkább a Java EE azonosság (alapértelmezésben az ügyfélazonosság), mint az operációs rendszer azonosság (kiszolgálóazonosság) kerül felhasználásra a DB2 for z/OS rendszerhez történő kapcsolatok létrehozásához, ha a Kapcsolatkezelő RunAs szál azonosság engedélyezése ki van választva. Az alkalmazás DB2 for z/OS táblaelérése a meglévő DB2 for z/OS biztonsági irányelven alapján kerül megállapításra.

A szálazonosság támogatást használó összes J2CA csatolónak támogatnia kell a szálazonosságot. A CICS, IMS és DB2 rendszerek támogatják a szálazonosságot. A CICS és IMS rendszerek csak akkor támogatják a szálazonosságot, ha a cél CICS vagy IMS rendszer ugyanazon a rendszeren konfigurált, mint a z/OS alkalmazáskiszolgáló. A DB2 rendszer mindig támogatja a szálazonosságot. Ha egy csatoló nem támogatja a szálazonosságot, akkor a kapcsolathoz tartozó felhasználói azonosság az adott csatoló által támogatott alapértelmezett felhasználói azonosságon alapul.

Adattípus Logikai
Alapértelmezett Tiltott
Tartomány Engedélyezett vagy Tiltott



A jelzett hivatkozások (online) Internet-hozzáférést igényelnek.

Kapcsolódó fogalmak
Kapcsolódó feladatok
Kapcsolódó hivatkozás
Globális biztonsági beállítások


Fájlnév: usec_zos_globalsec.html