Options de sécurité z/OS

Cette page permet de déterminer les options de sécurité globale à spécifier pour le serveur d'applications sur z/OS.

Pour afficher cette page de la console d'administration, cliquez sur Sécurité > Sécurité globale > Options de sécurité z/OS.

Vous pouvez également afficher cette page en procédant comme suit :
  1. Cliquez sur Serveurs > Types de serveurs >Serveurs d'applications WebSphere> nom_serveur.
  2. Sous Sécurité, cliquez sur Domaine du serveur.
  3. Cliquez sur Options de sécurité z/OS.

Si vous configurez la sécurité pour la première fois, suivez les étapes de l'article relatif à la sécurité globale avant d'effectuer des modifications. Une fois la sécurité configurée, validez les modifications apportées aux panneaux du registre d'utilisateurs ou du mécanisme d'authentification. Cliquez sur Valider pour valider les paramètres du registre d'utilisateurs. L'authentification de l'ID serveur est tentée dans le registre d'utilisateurs configuré. La validation des paramètres du registre d'utilisateurs une fois que vous avez activé la sécurité globale peut éviter des incidents lors du prochaine redémarrage du serveur.

l'identité distante,

Spécifie l'ID utilisateur SAF (System Authorization Facility) utilisée pour les clients non authentifiés IIOP (Internet Inter-ORB Protocol) qui envoient des demandes sur ce serveur à partir d'un autre système.

Indique si une identité distante d'application est autorisée.

Remarque : Cette information s'applique uniquement aux serveurs version 6.0.x et antérieures qui sont fédérés dans une cellule version 6.1.
Identité locale

Spécifie l'ID utilisateur SAF utilisée pour les clients non authentifiés IIOP (Internet Inter-ORB Protocol) qui envoient des demandes sur ce serveur à partir du même système.

Indique si une identité locale d'application est autorisée.

Remarque : Cette information s'applique uniquement aux serveurs version 6.0.x et antérieures qui sont fédérés dans une cellule version 6.1.
Activer la synchronisation des identités d'unité d'exécution des serveurs d'applications et de z/OS

Indique que les serveurs d'applications peuvent traiter l'option SyncToOSThread pour les composants d'application qui la spécifient.

La sélection de cette option permet d'indiquer si l'identité de l'unité d'exécution du système d'exploitation est activée pour la synchronisation avec l'identité Java Platform, Enterprise Edition (Java EE) utilisée au cours de l'exécution du serveur d'applications lorsqu'une application est codée pour demander cette fonction.

Synchroniser l'identité du système d'exploitation à l'identité Java EE entraîne la synchronisation de l'identité du système d'exploitation à l'appelant authentifié, ou à l'identité RunAs déléguée dans un fichier servlet ou EJB (Enterprise JavaBeans). Cette synchronisation ou cette association signifie que c'est l'identité de l'appelant ou du rôle de sécurité, plutôt que l'identité de région du serveur, qui est utilisée pour les demandes de service système z/OS, comme l'accès aux fichiers.

Pour que cette fonction soit active, les conditions suivantes doivent être réunies :
  • La valeur Synchronisation autorisée avec l'unité d'exécution du système est true.
  • Une application contient dans son descripteur de déploiement un paramètre env-entry de com.ibm.websphere.security.SyncToOSThread ayant la valeur true.
  • Le référentiel de comptes utilisateur configuré est le système d'exploitation local.

Lorsque ces conditions sont réunies, l'identité de l'unité d'exécution du système d'exploitation est définie initialement comme l'identité de l'appelant authentifié d'une demande Web ou EJB. L'unité d'exécution du système d'exploitation est modifiée à chaque modification de l'identité Java EE. L'identité Java EE peut être modifiée soit par une spécification RunAs sur le descripteur de déploiement ou par une demande de programmation WSSubject.doAs().

Si la valeur autorisée de l'unité d'exécution de synchronisation au système d'exploitation local est false, qui est le paramètre par défaut, la fonction de modification de l'identité, sur l'unité d'exécution du système d'exploitation, du paramètre de descripteur de déploiement de l'application installée est désactivée. Si le serveur n'est pas configuré pour accepter l'activation de la synchronisation et que le descripteur de déploiement d'application, com.ibm.websphere.security.SyncToOSThread, a la valeur true, un message d'avertissement BBOJ0080W indique que l'EJB demande l'option SyncToOSThread, mais que le serveur n'est pas activé pour cette option.

Important : Cette option augmente considérablement le nombre d'enregistrements SMF 80 utilisés pour l'audit de la sécurité. Lorsque l'audit de sécurité est activé pour des enregistrements SMF 80, la quantité de DASD utilisés augmente fortement.

Activer l'identité d'unité d'exécution RunAs du gestionnaire des connexions

Définit l'identité MVS associée à l'identité Java Platform, Enterprise Edition (Java EE) sur l'unité d'exécution. Les connecteurs J2CA (Java EE Connector Architecture) locaux peuvent reconnaître l'identité MVS pour l'authentification et l'autorisation lorsqu'une application demande une connexion.

Lorsque vous activez ce paramètre, la méthode peut traiter une demande qui modifie l'identité du système d'exploitation pour refléter l'identité Java Platform, Enterprise Edition (Java EE). Cette fonction est obligatoire pour tirer parti de la prise en charge de l'identité d'unité d'exécution. Les connecteurs J2CA (Java EE Connector architecture) qui accèdent aux ressources locales sur un système z/OS peuvent utiliser la prise en charge de l'identité d'unité d'exécution. Un ensemble de connecteurs J2CA qui accède aux ressources locales z/OS prend par défaut l'identité Java EE de l'application si toutes les conditions suivantes sont réunies :
  • L'autorisation de ressource est définie comme gérée par le conteneur (res-auth=container).
  • Une entrée d'alias n'est pas codée lors du déploiement de l'application.
  • Le paramètre Synchronisation avec l'unité d'exécution du système d'exploitation par le gestionnaire de connexions a la valeur enabled.

Par exemple, si vous disposez d'une règle de sécurité DB2 for z/OS préexistante qui contrôle les utilisateurs ayant accès à chaque table, vous pouvez l'appliquer lorsque des utilisateurs accèdent à des applications WebSphere accédant également à DB2 for z/OS. L'identité Java EE (identité du client par défaut) est utilisée au lieu de l'identité du système d'exploitation pour établir des connexions à DB2 for z/OS lorsque l'option Identité RunAs du gestionnaire de connexions activée est sélectionnée. L'accès aux tables DB2 for z/OS par l'application est déterminé par la règle de sécurité DB2 for z/OS préexistante.

Tout connecteur J2CA qui utilise l'identité d'unité d'exécution doit prendre en charge cette identité. CICS (Customer Information Control System), IMS (Information Management System) et DB2)(DATABASE 2) prennent en charge l'identité d'unité d'exécution. CICS et IMS ne prennent charge l'identité d'unité d'exécution que si le système CICS ou IMS cible est configuré sur le même système que le serveur d'applications pour z/OS. DB2 prend toujours en charge l'identité d'unité d'exécution. Si un connecteur ne la prend pas en charge, l'identité de l'utilisateur associé à la connexion est basée sur l'identité de l'utilisateur par défaut qui est prise en charge par ce connecteur spécifique.

Type de données Booléen
Valeur par défaut Désactivé
Intervalle Activé ou désactivé



Les liens marqués (en ligne) requièrent un accès à Internet.

Concepts associés
Tâches associées
Référence associée
Paramètres de sécurité globale


Nom du fichier : usec_zos_globalsec.html