Opcje zabezpieczeń systemu z/OS

Ta strona służy do określania opcji zabezpieczeń globalnych, które mają zostać zastosowane na serwerze aplikacji systemu z/OS.

Aby wyświetlić tę stronę Konsoli administracyjnej, należy kliknąć opcję Zabezpieczenia > Zabezpieczenia globalne > Opcje zabezpieczeń systemu z/OS.

Tę stronę Konsoli administracyjnej można również wyświetlić wykonując następujące kroki:
  1. Kliknij opcję Serwery > Typy serwerów > Serwery aplikacji WebSphere > nazwa_serwera.
  2. W obszarze Zabezpieczenia kliknij opcję Domena zabezpieczeń.
  3. Kliknij opcję Opcje zabezpieczeń systemu z/OS.

Jeśli zabezpieczenia są konfigurowane po raz pierwszy, należy wykonać kroki opisane w temacie Zabezpieczenia globalne przed dokonaniem zmian. Po skonfigurowaniu zabezpieczeń należy sprawdzić poprawność zmian wprowadzonych w rejestrze użytkowników lub panelach mechanizmu uwierzytelnień. Aby sprawdzić ustawienia rejestru użytkowników, należy kliknąć opcję Zastosuj. Podjęto próbę uwierzytelnienia identyfikatora serwera w skonfigurowanym rejestrze użytkowników. Sprawdzenie poprawności ustawień rejestru użytkowników po włączeniu zabezpieczeń globalnych pozwoli uniknąć problemów przy restartowaniu serwera po raz pierwszy.

Tożsamość zdalna

Określa identyfikator użytkownika SAF (System Authorization Facility) przeznaczony dla nieuwierzytelnionych klientów protokołu ORB (Internet Inter-ORB Protocol) wykonujących żądania tego serwera z poziomu innego systemu.

Określa, czy tożsamość zdalna aplikacji zostanie dozwolona.

Uwaga: Ta informacja jest ważna tylko dla wersji 6.0.x i poprzednich wersji zawartych w komórce wersji 6.1.
Tożsamość lokalna

Określa identyfikator użytkownika SAF (System Authorization Facility) przeznaczony dla nieuwierzytelnionych klientów protokołu ORB (Internet Inter-ORB Protocol) wykonujących żądania tego serwera z poziomu lokalnego systemu.

Określa, czy tożsamość lokalna aplikacji zostanie dozwolona.

Uwaga: Ta informacja jest ważna tylko dla wersji 6.0.x i poprzednich wersji zawartych w komórce wersji 6.1.
Włącz synchronizację tożsamości wątku serwera aplikacji i systemu z/OS

Służy do określania, że serwery aplikacji mogą przetwarzać opcję SyncToOSThread dla określających ją komponentów aplikacji.

Wybranie tej opcji wskazuje, że tożsamość wątku systemu operacyjnego jest włączona na potrzeby synchronizacji tożsamości platformy Java Platform Enterprise Edition (Java EE) używanej w środowisku wykonawczym serwera aplikacji, jeśli kod aplikacji wymaga tej funkcji.

Synchronizowanie tożsamości systemu operacyjnego z tożsamością Java EE spowoduje synchronizację tożsamości systemowej z uwierzytelnionym programem wywołującym lub przekazanej tożsamości RunAs w serwlecie lub pliku Enterprise JavaBeans (EJB). Synchronizacja lub powiązanie w tym przypadku oznacza użycie tożsamości roli programu wywołującego lub zabezpieczeń zamiast tożsamości regionu serwera w celu wykonywania żądań usług systemu z/OS (np. dostępu do plików).

Aby ta funkcja była aktywna, należy spełnić następujące warunki:
  • Wartość Zezwolenie na synchronizacje aplikacji z wątkiem systemu operacyjnego to true.
  • Deskryptor wdrożenia aplikacji zawiera wpis env-entry modułu com.ibm.websphere.security.SyncToOSThread ustawiony na wartość true.
  • Skonfigurowane repozytorium kont użytkowników to lokalny system operacyjny.

Jeśli te warunki zostaną spełnione, tożsamość wątku systemu operacyjnego zostanie wstępnie ustawiona na tożsamość uwierzytelnionego programu wywołującego żądania WWW lub EJB. Wątek systemu operacyjnego jest modyfikowany za każdym razem, kiedy modyfikowana jest tożsamość Java EE. Tożsamość Java EE można zmodyfikować za pomocą specyfikacji RunAs w deskryptorze wdrażania lub programowego żądania WSSubject.doAs().

Jeśli wartość Zezwolenie na synchronizacje aplikacji z wątkiem systemu operacyjnego to false, co jest ustawieniem domyślnym, możliwość zmodyfikowania tożsamości w wątku systemu operacyjnego ustawienia deskryptora wdrożenia w deskryptorze wdrożenia zainstalowanej aplikacji zostanie wyłączona. Jeśli serwer nie został skonfigurowany w celu włączenia synchronizacji, a deskryptor wdrożenia aplikacji com.ibm.websphere.security.SyncToOSThread został ustawiony na wartość true (prawda), ostrzeżenie BBOJ0080W powiadomi o żądaniu opcji SyncToOSThread przez EJB, ale opcja SyncToOSThread nie jest włączona na serwerze.

Ważne: Ta opcje znacznie zwiększa liczbę rekordów SMF 80 używanych przez kontrolę zabezpieczeń. Jeśli kontrola zabezpieczeń została włączona dla rekordów SMF 80 ilość danych DASD zostanie znacznie zwiększona.

Włącz tożsamość wątku RunAs menedżera połączeń.

Służy do ustawiania tożsamości MVS powiązanej z tożsamością Java Platform, Enterprise Edition (Java EE) w wątku wykonawczym. Lokalne konektory architektury Java EE (J2CA) mogą uznawać tożsamość MVS do uwierzytelniania i autoryzacji, kiedy aplikacja zażąda połączenia.

Jeśli włączono to ustawienie, metoda może przetworzyć żądanie modyfikujące tożsamość systemu operacyjnego, tak aby odzwierciedlała ona tożsamość Java EE (Java Platform Enterprise Edition). Ta funkcja jest wymagana w celu włączenia obsługi tożsamości wątku. Konektory J2CA (Java EE Connector Architecture) uzyskujące dostęp do zasobów lokalnych systemu z/OS mogą używać obsługi tożsamości wątku. Zestaw konektorów J2CA uzyskujących dostęp do lokalnych zasobów systemu z/OS zostanie domyślnie ustawiony na tożsamość Java EE aplikacji, jeśli spełnione zostaną następujące warunki:
  • Autoryzacja zasobów jest zarządzana przez kontener (res-auth=container).
  • Wpis aliasu nie został zakodowany podczas wdrażania aplikacji.
  • Ustawienie menedżera połączeń z wątkiem systemu operacyjnego zostało ustawione na wartość enabled.

Jeśli na przykład istnieje strategia zabezpieczeń bazy danych DB2 for z/OS kontrolująca dostęp poszczególnych użytkowników do określonych tabel, strategia ta powinna być wymuszana, gdy użytkownicy pracują z aplikacjami produktu WebSphere, które uzyskują dostęp do bazy danych DB2 for z/OS. Po wybraniu opcji Włącz tożsamość wątku RunAs menedżera połączeń do tworzenia połączeń z bazą danych DB2 for z/OS jest używana tożsamość Java EE (domyślnie zgodna z tożsamością klienta), a nie tożsamość systemu operacyjnego (tożsamość serwera). Dostęp aplikacji do tabel bazy danych DB2 for z/OS jest określany za pomocą wcześniej istniejącej strategii zabezpieczeń produktu DB2 for z/OS.

Dowolny konektor J2CA używający obsługi tożsamości wątku musi obsługiwać tożsamość wątku. Systemy CICS (Customer Information Control System), IMS (Information Management System) oraz DB2 (DATABASE 2) obsługują tożsamość wątku. Systemy CICS i IMS obsługują tożsamość wątku tylko wtedy, gdy docelowy system CICS lub IMS jest skonfigurowany w tym samym systemie co serwer aplikacji dla systemu z/OS. Produkt DB2 zawsze obsługuje tożsamość wątku. Jeśli konektor nie obsługuje tożsamości wątku, tożsamość użytkownika powiązana z połączeniem zostanie utworzona na podstawie domyślnej tożsamości użytkownika obsługiwanej przez dany konektor.

Typ danych Boolean
Wartość domyślna Wyłączone
Zakres Włączone lub Wyłączone



Zaznaczone odsyłacze (online) wymagają dostępu do Internetu.

Pojęcia pokrewne
Zadania pokrewne
Odsyłacze pokrewne
Globalne ustawienia zabezpieczeń


Nazwa pliku: usec_zos_globalsec.html