z/OS-SAF-Berechtigung

Verwenden Sie diese Seite, um System Authorization Facility (SAF) und die Eigenschaften für die SAF-Berechtigung zu konfigurieren.

Gehen Sie zum Aktivieren der SAF-Berechtigung wie folgt vor:
  1. Klicken Sie auf Sicherheit > Globale Sicherheit > Externe Berechtigungsprovider.
  2. Wählen Sie in der Dropdown-Liste unter "Berechtigungsprovider" den Eintrag System Authorization Facility (SAF) aus.
  3. Klicken Sie auf die Schaltfläche Konfigurieren aus.
Wenn Sie die SAF-Berechtigung auswählen, verwendet WebSphere Application Server die Berechtigungsrichtlinie, die im z/OS-Sicherheitsprodukt für Berechtigung gespeichert ist. Wenn eine LDAP-Registry oder eine angepasste Registry konfiguriert und die SAF-Autorisierung angegeben ist, muss bei jeder Anmeldung eine Zuordnung zu einem z/OS-Principal erfolgen, um geschützte Methoden ausführen zu können.

Die allgemeinen Eigenschaften für nicht authentifizierte Benutzer, SAF-Autorisierung und die Nachrichtenunterdrückung für SAF EJBROLE sind keine angepassten Eigenschaften mehr.

Wenn Sie diese Option auswählen, verwendet WebSphere Application Server die Berechtigungsrichtlinie, die im z/OS-Sicherheitsprodukt für Berechtigung gespeichert ist.

Nicht authentifizierte Benutzer-ID

Gibt die MVS-Benutzer-ID an, die ungeschützte Servlet-Anforderungen repräsentiert, wenn die SAF-Berechtigung angegeben ist oder eine LocalOS-Registry konfiguriert wird. Diese Benutzer-ID kann maximal 8 Zeichen lang sein.

Dieses Eigenschaftendefinition wird für Folgendes verwendet:
  • Für die Autorisierung, wenn ein ungeschütztes Servlet eine Entity-Bean aufruft.
  • Für die Identifizierung eines ungeschützten Servlets zum Aufrufen eines z/OS-Connector wie Customer Information Control System (CICS) oder Information Management System (IMS), der eine aktuelle ID verwendet, wenn res-auth=container gilt.
  • Wenn eine Anwendung versucht, eine SynchToOSThread-Funktion einzuleiten.
Nähere Informationen hierzu finden Sie in den folgenden Artikeln im Information Center:
  • "SynchToOSThread zulässig" für Anwendungen
  • Wann die Option "SynchToOSThread zulässig" verwendet werden sollte
Mapper für SAF-Profile

Gibt den Namen des SAF-EJBRole-Profils an, dem ein J2EE-Rollenname zugeordnet wird. Der Name, den Sie angeben, implementiert die Schnittstelle "com.ibm.websphere.security.SAFRoleMapper".

Weitere Informationen finden Sie im Artikel Angepassten Mapper für SAF-EJB-Rollen entwickeln.

SAF-Delegierung aktivieren

Diese Eigenschaft gibt an, dass SAF-EJBROLE-Definitionen festlegen, welche MVS-Benutzer-ID zur aktiven Identität wird, wenn Sie die angegebene RunAs-Rolle auswählen.

Wählen Sie die Option SAF-Delegierung aktivieren nur aus, wenn Sie die Option SAF-Berechtigung aktivieren als externen Berechtigungsprovider auswählen.

APPL-Profil verwenden, um den Zugriff auf den Anwendungsserver einzuschränken

Verwenden Sie das APPL-Profil, um den Zugriff auf den Anwendungsserver einzuschränken.

Wenn Sie ein SAF-Profilpräfix definiert haben, ist das verwendete APPL-Profil das Profilpräfix. Andernfalls lautet der APPL-Profilname CBS390. Alle z/OS-Identitäten, die WebSphere-Services verwenden, müssen Leseberechtigung für das APPL-Profil haben. Zu diesen IDs gehören alle WAS-IDs, alle nicht authentifizierten WAS-IDs, alle Administrations-IDs von WebSphere Application Server, alle auf Zuordnungen von Rollen zu Benutzern basierenden Benutzer-IDs und alle Benutzer-IDs von Systembenutzern. Wenn die APPL-Klasse auf dem z/OS-System nicht aktiv ist, hat diese Eigenschaft, unabhängig vom Wert, keine Wirkung.

Standardeinstellung Aktiviert
Berechtigungsfehlernachrichten vom z/OS-Sicherheitsprodukt unterdrücken

Gibt an, ob ICH408I-Nachrichten aktiviert oder inaktiviert sind. Diese Eigenschaft ist standardmäßig nicht ausgewählt, so dass Nachrichten nicht unterdrückt werden.

SMF (System Management Facility) zeichnet Zugriffsschutzverletzen auf, egal welcher Wert für diese neue Eigenschaft angegeben ist. Diese Eigenschaft wirkt sich auf die Generierung von Zugriffsverletzungsnachrichten für anwendungsdefinierte Rollen und für Rollen der WAS-Laufzeit des Benennungs- und Verwaltungssubsystems aus. Überprüfungen des Profils EJBROLE werden als deklaratorische Überprüfungen und programmgesteuerte Überprüfungen durchgeführt.
  • Deklarative Überprüfungen sind als Sicherheitseinschränkungen in Webanwendungen und Implementierungsdeskriptoren als Sicherheitseinschränkungen in EJB-Dateien (Enterprise JavaBeans) codiert. In diesem Fall wird die Eigenschaft nicht für die Steuerung von Nachrichten verwendet. Stattdessen werden einige Rollen berechtigt. Sollte eine Zugriffsschutzverletzung auftreten, wird eine ICH408I-Nachricht generiert, die einen Fehler für eine der Rollen anzeigt. SMF protokolliert dann eine Zugriffsverletzung für diese Rolle.
  • Programmlogikprüfungen oder Zugriffsprüfungen werden mit der Methode isCallerinRole(x) für Enterprise-Beans oder der Methode "isUserInRole(x)" für Webanwendungen durchgeführt. Wenn die Eigenschaft für die SMF-Prüfsatzstrategie auf ASIS, NOFAIL oder NONE eingestellt ist, steuert die Eigenschaft "com.ibm.security.SAF.EJBROLE.Audit.Messages.Suppress" die Nachrichten, die von diesem Aufruf generiert werden. Die Nachrichtenunterdrückung ist für Verwaltungsrollen immer aktiviert, wenn die Eigenschaft für die SMF-Prüfsatzstrategie auf Default eingestellt ist.
Fehler vermeiden:
  • Wenn Sie mit Version 7.0.0.3 oder höher arbeiten und nicht möchten, dass Nachrichten für Verwaltungsrollen unterdrückt werden, wenn die SMF-Prüfsatzstrategie auf Default eingestellt ist, setzen Sie die Eigenschaft "com.ibm.security.SAF.EJBROLE.Audit.Messages.Suppress.Admin" auf false. Der für diese Eigenschaft angegebene Wert überschreibt jede andere Einstellung, die die Nachrichtenunterdrückung für Verwaltungsrollen steuert.
  • Wenn fremde Berechtigungsprovider verwendet werden, z. B. Tivoli Access Manager oder Service Access Facility (SAF) für z/OS, spiegeln die Informationen in dieser Anzeige möglicherweise nicht die Daten im Provider wider. Möglicherweise werden auch Änderungen in dieser Anzeige nicht automatisch im Provider wiedergegeben. Informieren Sie den Provider gemäß seinen Anweisungen über die Änderungen in dieser Anzeige.
gotcha

Weitere Informationen zur SAF-Berechtigung finden Sie im Information Center in dem Artikel, der sich befasst mit der Steuerung des Zugriffs auf die Konsolbenutzer bei Verwendung einer LocalOS-Registry. Nähere Informationen zu Verwaltungsrollen finden Sie im entsprechenden Artikel im Information Center.

Standardeinstellung Inaktiviert, d. h., Nachrichten werden nicht unterdrückt.
Strategie für SMF-Prüfsätze

Bestimmt, wann ein Prüfsatz in System Management Facility (SMF) geschrieben wird. Bei jedem Berechtigungsaufruf kann RACF oder ein entsprechendes SAF-basiertes Produkt einen Prüfsatz mit dem Ergebnis der Berechtigungsprüfung in SMF schreiben.

WebSphere Application Server for z/OS verwendet die Operationen SAF RACROUTE AUTH und RACROUTE FASTAUTH und übergibt die Option LOG, die in der Sicherheitskonfiguration angegeben ist. Die Optionen sind DEFAULT, ASIS, NOFAIL und NONE.

Die folgenden Optionen sind in der Dropdown-Liste verfügbar:
DEFAULT

Wenn mehrere Rollenvorgaben angegeben sind, z. B. der Benutzer muss einer von mehreren Rollen zugeordnet sein, werden alle Rollen mit Ausnahme der letzten markiert, wenn die Option NOFAIL angegeben ist. Wenn die Berechtigung in einer der Rollen vor der letzten erteilt wurde, schreibt WebSphere Application Server einen Erfolgsdatensatz zur Berechtigung. Falls die Berechtigung für keine dieser Rollen erfolgreich verläuft, wird die letzte Rolle mit der Protokolloption ASIS markiert. Wenn der Benutzer die Berechtigung für die letzte Rolle besitzt, wird unter Umständen ein Erfolgsdatensatz geschrieben. Wenn der Benutzer nicht berechtigt ist, kann ein Fehlerdatensatz geschrieben werden.

ASIS
Gibt an, dass die Prüfereignisse so aufgezeichnet werden, wie es in dem Profil, das die Ressource schützt, oder wie es mit den SETROPTS-Optionen angegeben ist.
NOFAIL
Gibt an, dass keine Fehler aufgezeichnet werden. Es werden keine Nachrichten zu Berechtigungsfehlern ausgegeben, aber Erfolgsdatensätze können geschrieben werden.
NONE
Gibt an, dass weder erfolgreiche noch fehlgeschlagene Berechtigungen aufgezeichnet werden.

Es wird nur ein Fehlerdatensatz für eine fehlgeschlagene J2EE-Berechtigungsprüfung geschrieben, wenn mehrere SAF-Berechtigungsaufrufe abgesetzt werden. Weitere Informationen zu den LOG-Optionen für SAF RACROUTE AUTH und RACROUTE FASTAUTH finden Sie in der Dokumentation zu RACF oder einem entsprechenden SAF-basierten Produkt.

Präfix für SAF-Profile

Gibt ein Präfix an, das allen SAF-EJBROLE-Profilen hinzugefügt werden soll, die für Java-EE-Rollen verwendet werden. Außerdem wird dieses Präfix als APPL-Profilname verwendet und in den Profilnamen eingefügt, der für CBIND-Prüfungen verwendet wird. Es gibt keinen Standardwert für das Feld "Präfix für SAF-Profile". Wenn kein Präfix explizit angegeben wird, wird den SAF-EJBROLE-Profilen kein hinzufügt. Stattdessen wird der Standardwert CBS390 als APPL-Profilname verwendet, und dem Profilnamen wird keine Angabe für CBIND-Prüfungen hinzugefügt.

Sie können das APPL-Profil verwenden, um den Zugriff auf WebSphere Application Server zu beschränken.

Wenn Sie ein SAF-Profilpräfix definiert haben, ist das verwendete APPL-Profil das Profilpräfix. Andernfalls lautet der APPL-Profilname CBS390. Alle z/OS-Identitäten, die WebSphere-Services verwenden, müssen Leseberechtigung für das APPL-Profil haben. Zu diesen IDs gehören alle IDs, alle nicht authentifizierten IDs, alle Administrations-IDs von WebSphere Application Server, alle auf Zuordnungen von Rollen zu Benutzern basierenden Benutzer-IDs und alle Benutzer-IDs von Systembenutzern. Wenn die APPL-Klasse auf dem z/OS-System nicht aktiv ist, hat diese Eigenschaft, unabhängig vom Wert, keine Wirkung.

Anmerkung: Das SAF-Profilpräfix entspricht der Eigenschaft com.ibm.security.SAF.profilePrefix.name in der Datei security.xml.



Mit (online) gekennzeichnete Links setzen einen Internet-Zugang voraus.

Zugehörige Konzepte
Zugehörige Tasks
Zugehörige Verweise


Dateiname: usec_safpropszos.html