Opções de Segurança do z/OS

Utilize essa página para determinar quais opções de Segurança Global devem ser especificadas para o servidor de aplicativos para z/OS.

Para visualizar essa página do console administrativo, clique em Segurança > Segurança Global > Opções de Segurança do z/OS.

Você também pode visualizar esta página do console administrativo, concluindo as etapas a seguir:
  1. Clique em Servidores > Tipos de Servidores > Servidores de Aplicativos do WebSphere > server_name.
  2. Em Segurança, clique em Domínio do Servidor.
  3. Clique em Opções de Segurança do z/OS.

Se você estiver configurando a segurança pela primeira vez, conclua as etapas do artigo Segurança Global antes de fazer as alterações. Depois de configurar a segurança, valide as alterações nos painéis de registro do usuário ou de mecanismos de autenticação. Clique em Aplicar para validar as definições do registro do usuário. Será feita uma tentativa de autenticar o ID do servidor para o registro de usuário configurado. A validação das definições de registro do usuário após a ativação da segurança global pode reduzir possíveis problemas ao reiniciar o servidor pela primeira vez.

Identidade Remota

Especifica o ID do usuário do SAF (System Authorization Facility) adotado para os clientes não autenticados IIOP (Internet Inter-ORB Protocol) que fazem pedidos deste servidor a partir de outro sistema.

Especifica se uma identidade remota do aplicativo é permitida.

Nota: Essas informações aplicam-se somente em servidores Versão 6.0.x e anteriores federados em uma célula Versão 6.1.
Identidade Local

Especifica o ID do usuário do SAF adotado para clientes não-autenticados IIOP (Internet Inter-ORB Protocol) que fazem pedidos deste servidor a partir do mesmo sistema.

Especifica se uma identidade local do aplicativo é permitida.

Nota: Essas informações aplicam-se somente em servidores Versão 6.0.x e anteriores federados em uma célula Versão 6.1.
Ativar a Sincronização de Identidades do Encadeamento do Servidor de Aplicativos e do z/OS

Especifica que os servidores de aplicativos podem processar a opção SyncToOSThread para componentes de aplicativos que a especificarem.

Selecionar essa opção indica se uma identidade do encadeamento do sistema operacional está ativada para sincronização com a identidade do Java EE (Java Platform, Enterprise Edition) que será utilizada no tempo de execução do servidor de aplicativos quando um aplicativo for codificado para solicitar essa função.

A sincronização da identidade do sistema operacional com a identidade do Java EE faz com que a identidade do sistema operacional seja sincronizada com o responsável pela chamada autenticado ou com a identidade RunAs delegada em um arquivo de servlet ou de EJB (Enterprise JavaBeans). Essa sincronização ou associação significa que a identidade do responsável pela chamada ou da função de segurança, em vez da identidade da região de servidor, é utilizada para pedidos de serviço do sistema z/OS, como acesso a arquivos.

Para que esta função esteja ativa, todas as seguintes condições devem ser verdadeiras:
  • O valor permitido para Sincronizar Encadeamento de S.O. é true.
  • Um aplicativo inclui em seu descritor de implementação uma env-entry de com.ibm.websphere.security.SyncToOSThread configurada para true.
  • O repositório de contas de usuários configurado é o sistema operacional local.

Quando estas condições forem verdadeiras, a identidade do encadeamento do S.O. será inicialmente definida como a identidade do responsável pela chamada autenticado de um pedido da Web ou de EJB. O encadeamento do S.O. é modificado toda vez que a identidade do Java EE é modificada. A identidade do Java EE pode ser modificada por uma especificação RunAs no descritor de implementação t ou por um pedido WSSubject.doAs() programático.

Se o valor Sincronização para Encadeamento de S.O. Permitido for false, que é a definição padrão, a capacidade de modificar a identidade no encadeamento do sistema operacional da definição do descritor de implementação no descritor de implementação do aplicativo instalado será desativada. Se o servidor não estiver configurado para aceitar sincronização ativa e o descritor de implementação do aplicativo com.ibm.websphere.security.SyncToOSThread estiver configurado como true, uma mensagem de aviso BBOJ0080W indicará que o EJB está solicitando a opção SyncToOSThread, mas o servidor não está ativado para a opção SyncToOSThread.

Importante: Essa opção aumenta de forma significativa o número de SMF 80 registros utilizado para auditoria da segurança. Se a auditoria de segurança estiver ativada para 80 registros do SMF, então, a quantidade de DASD utilizada aumentará de forma significativa.

Ativar a identidade do encadeamento RunAs do gerenciador de conexões

Configura a identidade do MVS associada à identidade do Java EE (Java Platform, Enterprise Edition) no encadeamento de execução. Os conectores J2CA (Java EE Connector Architecture) locais podem aceitar a identidade do MVS para autenticação e autorização quando um aplicativo solicita uma conexão.

Quando você ativa essa configuração, o método pode processar um pedido que modifica a identidade do sistema operacional para refletir a identidade do Java EE (Java Platform, Enterprise Edition). Essa função é requerida para tirar vantagem do suporte à identidade do encadeamento. Os conectores J2CA (Java EE Connector Architecture) que acessam os recursos locais em um sistema z/OS podem utilizar o suporte a identidades do encadeamento. Um conjunto de conectores J2CA que acessa recursos locais do z/OS assumirá por padrão a identidade do Java EE do aplicativo se todas as seguintes condições forem verdadeiras:
  • A autorização do recurso está definida como gerenciada por contêiner (res-auth=container).
  • Uma entrada de alias não é codificada durante a implementação do aplicativo.
  • A definição de Sincronização para Encadeamento de S.O. do gerenciador de conexões está definida como ativada.

Por exemplo, se você tiver uma política de segurança preexistente do DB2 para z/OS que controla quais usuários têm acesso a cada tabela, desejará permitir que a política seja aplicada quando o usuário acessar aplicativos do WebSphere que também acessam o DB2 para z/OS. A identidade do Java EE (a identidade do cliente por padrão) em vez da identidade do sistema operacional (identidade do servidor) é utilizada para estabelecer conexões com o DB2 para z/OS quando Identidade RunAs do Gerenciador de Conexões Ativada é selecionada. O acesso à tabela do DB2 para z/OS para o aplicativo é determinado utilizando sua política de segurança preexistente do DB2 para z/OS.

Qualquer conector J2CA que utilize o suporte à identidade do encadeamento deve suportar a identidade do encadeamento. O CICS (Customer Information Control System), o IMS (Information Management System) e o DB2 (DATABASE 2) suportam a identidade do encadeamento. O CICS e o IMS suportarão a identidade do encadeamento apenas se o CICS ou IMS de destino estiver configurado no mesmo sistema que o servidor de aplicativos para z/OS. O DB2 sempre suporta a identidade do encadeamento. Se um conector não suportar a identidade do encadeamento, a identidade do usuário associada à conexão será baseada na identidade do usuário padrão suportada pelo conector específico.

Tipo de Dados Booleano
Padrão Desativado
Intervalo Ativado ou Desativado



Links marcados (on-line) requerem acesso à Internet.

Conceitos relacionados
Tarefas relacionadas
Referências relacionadas
Configurações de Segurança Global


Nome do arquivo: usec_zos_globalsec.html