Volby zabezpečení z/OS

Prostřednictvím této stránky lze určit, které volby globálního zabezpečení mají být určeny pro aplikační server pro platformu z/OS.

Chcete-li zobrazit tuto stránku konzoly pro správu, klepněte na volbu Zabezpečení > Globální zabezpečení > Volby zabezpečení z/OS.

Tuto stránku konzoly pro správu lze rovněž zobrazit provedením následujících kroků:
  1. Klepněte na volbu Servery > Typy serverů > Aplikační servery platformy WebSphere > název_serveru.
  2. V části Zabezpečení klepněte na volbu Doména serveru.
  3. Klepněte na volbu Volby zabezpečení z/OS.

Pokud zabezpečení konfigurujete poprvé, dokončete před provedením změn kroky v článku Globální zabezpečení. Po dokončení konfigurace zabezpečení ověřte změny na panelech registru uživatelů nebo mechanizmus ověřování. Chcete-li ověřit nastavení registru uživatelů, klepněte na tlačítko Použít. Dojde k pokusu o ověření ID serveru pro konfigurovaný registr uživatelů. Pokud po aktivaci globálního zabezpečení ověříte nastavení registru uživatelů, můžete omezit případné problémy při prvním restartu serveru.

Vzdálená identita

Určuje jméno uživatele spravované zařízením SAF (System Authorization Facility) a předpokládané pro neověřené klienty protokolu IIOP (Internet Inter-ORB Protocol), kteří odešlou požadavek na tento server z jiného systému.

Určuje, zda je pro aplikaci povolena vzdálená identita.

Poznámka: Tato informace se týká verze 6.0.x a předchozích serverů pouze v případě, že jsou federovány v buňce verze 6.1.
Lokální identita

Určuje jméno uživatele spravované zařízením SAF a předpokládané pro neověřené klienty protokolu IIOP (Internet Inter-ORB Protocol), kteří odešlou požadavek na tento server z téhož systému.

Určuje, zda je pro aplikaci povolena lokální identita.

Poznámka: Tato informace se týká verze 6.0.x a předchozích serverů pouze v případě, že jsou federovány v buňce verze 6.1.
Povolit aplikační server a synchronizaci identity podprocesu operačního systému z/OS

Tato volba určuje, že aplikační servery mohou zpracovat volbu SyncToOSThread u aplikačních komponent, které tuto volbu uvádějí.

Výběr této volby indikuje, zda je identita podprocesu operačního systému povolena k synchronizaci s identitou Java EE (Java Platform, Enterprise Edition), která je používána v běhové komponentě aplikačního serveru v případě, že je aplikace nastavena na vyžadování této funkce.

Synchronizace identity operačního systému s identitou Java EE způsobí, že je identita operačního systému synchronizována s ověřeným volajícím, delegovanou identitou RunAs v servletu nebo souboru EJB (Enterprise JavaBeans). Tato synchronizace nebo přiřazení způsobí, že je místo identity regionu serveru použita pro požadavky služeb operačního systému z/OS, jako je například přístup k souborům, identita volajícího nebo identita role zabezpečení.

Aby byla funkce aktivní, musí být všechny následující podmínky splněny:
  • Hodnota povolení synchronizace s podprocesem operačního systému je true.
  • Aplikace v deskriptoru zavedení zahrnuje položku env-entry podprocesu com.ibm.websphere.security.SyncToOSThread nastavenou na hodnotu true.
  • Konfigurovaným úložištěm uživatelských účtů je lokální operační systém.

Pokud jsou tyto podmínky splněny, je identita podprocesu operačního systému na začátku nastavena na identitu ověřeného volajícího webového požadavku nebo požadavku EJB. Podproces operačního systému je upraven při každé úpravě identity prostředí Java EE. Identita prostředí Java EE může být upravena buď pomocí specifikace RunAs v deskriptoru zavedení, nebo programovým požadavkem WSSubject.doAs().

Pokud hodnota povolení synchronizace s podprocesem operačního systému je false, což je výchozí nastavení, je zakázána možnost upravovat identitu v podprocesu operačního systému nastavení deskriptoru zavedení v deskriptoru zavedení instalované aplikace. Pokud server není konfigurován pro přijetí povolení synchronizace a deskriptor zavedení aplikace com.ibm.websphere.security.SyncToOSThread je nastaven na hodnotu true, varovná zpráva BBOJ0080W indikuje, že sada EJB vyžaduje volbu SyncToOSThread, ale server ji nepodporuje.

Důležité: Tato volba výrazně zvyšuje počet záznamů SMF 80 použitých pro prověřování zabezpečení. Pokud je pro záznamy SMF 80 auditování zabezpečení zapnuto, výrazně vzroste potřeba prostoru na disku.

Povolit identitu podprocesu RunAs pro správce připojení

Nastaví identitu MVS přidruženou k identitě Java Platform, Enterprise Edition (Java EE) v podprocesu provádění. Pokud aplikace vyžádá připojení, mohou identitu MVS pro ověřování a autorizaci přidělit lokální konektory J2CA (Java EE Connector Architecture).

Pokud povolíte toto nastavení, metoda může zpracovat požadavek, který upravuje identitu operačního systému, aby odpovídala identitě Java EE (Java Platform, Enterprise Edition). Tato funkce je nezbytná pro využívání podpory identity podprocesu. Konektory J2CA (Java EE Connector Architecture), které přistupují k lokálním prostředkům operačního systému z/OS, mohou využívat podporu identity podprocesu. Výchozí nastavení sady konektorů J2CA, které mají přístup k lokálním prostředkům operačního systému z/OS, je identita Java EE aplikace, pokud jsou splněny všechny následující podmínky:
  • Ověřování prostředků je nastaveno na spravované kontejnerem (res-auth=container).
  • Položka aliasu není při zavádění aplikace kódována.
  • Nastavení správce připojení pro synchronizaci s podprocesem operačního systému má hodnotu povoleno.

Pokud máte například předdefinovanou zásadu zabezpečení produktu DB2 for z/OS určující, kteří uživatelé smějí přistupovat k jednotlivým tabulkám, a uživatelé současně přistupují k aplikacím WebSphere a k databázi DB2 pro systém z/OS, můžete tuto zásadu chtít vynutit. Je-li vybrána volba Povolit identitu podprocesu RunAs pro správce připojení, použije se při vytváření připojení k systému DB2 for z/OS místo identity operačního systému (identity serveru) identita Java EE (standardně identita klienta). Přístup k tabulkám systému DB2 for z/OS je určený použitím přednastavené zásady zabezpečení produktu DB2 for z/OS.

Konektor architektury J2CA, který využívá podporu identity podprocesu, musí podporovat identitu podprocesu. Identita podprocesu je podporována systémem CICS (Customer Information Control System), systémem IMS (Information Management System) a produktem DATABASE 2 (DB2). Systémy CICS a IMS podporují identitu podprocesu pouze v případě, že je cílový systém CICS nebo IMS konfigurován ve stejném systému jako aplikační server pro platformu z/OS. Produkt DB2 podporuje identitu podprocesu vždy. Pokud konektor nepodporuje identitu podprocesu, je identita uživatele, která je asociována s připojením, založena na výchozí identitě uživatele podporované příslušným konektorem.

Datový typ Logický
Výchozí hodnota Zakázáno
Rozsah Povoleno nebo Zakázáno



Odkazy s označením (online) vyžadují přístup k Internetu.

Související pojmy
Související úlohy
Související odkazy
Globální nastavení zabezpečení


Název souboru: usec_zos_globalsec.html