z/OS 系统授权工具授权

使用此页面来配置系统授权工具 (SAF) 和 SAF 授权属性。

要启用 SAF 授权:
  1. 单击安全性 > 全局安全性 > 外部授权提供程序
  2. 从“授权提供者”下的下拉列表中选择系统授权工具 (SAF)
  3. 单击配置按钮。
选择 SAF 授权后,WebSphere® Application Server 将使用 z/OS 安全性产品中存储的授权策略来进行授权。如果配置了轻量级目录访问协议 (LDAP) 注册表或定制注册表并指定了 SAF 授权,那么每次登录时都需要映射到 z/OS® 主体,这样才能运行受保护的方法:

未认证的用户、SAF 授权和 SAF EJBROLE 消息抑制功能的公共属性不再是定制属性。

选择此选项后,WebSphere Application Server 将使用 z/OS 安全性产品中存储的授权策略来进行授权。

未认证的用户标识

指定 MVS™ 用户标识,当指定了 SAF 授权或者配置了本地操作系统注册表时,此用户标识用来表示不受保护的 servlet 请求。此用户标识限长 8 个字符。

在下列情况下将使用此属性定义:
  • 当不受保护的 servlet 调用实体 bean 时,此属性定义用于进行授权
  • res-auth=container 时,对于使用不受保护的 servlet 的标识来调用使用当前标识的 z/OS 连接器,例如客户信息控制系统(CICS®)或信息管理系统(IMS™)
  • 当尝试执行应用程序启动的“与操作系统线程同步”功能时
有关更多信息,请参阅信息中心中的下列文章:
  • “了解允许应用程序与操作系统线程同步”
  • “何时使用允许应用程序与操作系统线程同步”
SAF 概要文件映射器

指定 Java™ 2 Platform, Enterprise Edition (J2EE) 角色名所映射的 SAF EJBRole 概要文件的名称。指定的名称必须实现了 com.ibm.websphere.security.SAFRoleMapper 接口。

有关更多信息,请参阅开发定制 SAF EJB 角色映射器

启用 SAF 授权

指定当选择特定于 RunAs 的角色时,将 SAF EJBROLE 定义分配给成为活动标识的 MVS 用户标识。

仅当您选择启用 SAF 授权选项作为外部授权提供程序时,才应该选择启用 SAF 授权选项。

使用 APPL 概要文件来限制对应用程序服务器的访问

使用 APPL 概要文件来限制对 WebSphere Application Server 的访问

如果您定义了 SAF 概要文件前缀,那么使用的 APPL 概要文件是该概要文件前缀。否则,APPL 概要文件名称为 CBS390。使用 WebSphere 服务的所有 z/OS 标识都应该对 APPL 概要文件具有 READ 许可权。这包括所有 WebSphere Application Server 标识、WebSphere Application Server 未认证标识、WebSphere Application Server 管理标识、基于角色至用户映射的用户标识和系统用户的所有用户标识。如果 APPL 类在 z/OS 系统上未处于活动状态,那么无论此属性的值是什么,它都无效。

缺省值: 已启用。
不显示来自 z/OS 安全性产品的授权失败消息。

指定是否打开了 ICH408I 消息。此设置的缺省值是 false(未选中),即不抑制消息。

无论指定给这个新属性的是什么值,系统管理设施(SMF)都会记录访问违例情况。此属性既影响生成应用程序定义的角色的访问违例消息,也影响生成应用程序服务器运行时为命名和管理子系统定义的角色的访问违例消息。声明性检查和程序性检查都执行 EJBROLE 概要文件检查:
  • 声明性检查作为 Web 应用程序中的安全性约束编码,部署描述符作为 Enterprise JavaBeans™ (EJB) 文件中的安全性约束编码。在这种情况下,不使用此属性来控制消息。而是允许使用一组角色,如果发生访问违例,ICH408I 访问违例消息就会指示导致故障的某个角色。然后,SMF 为该角色记录一个访问违例事件。
  • 程序逻辑检查或访问检查使用程序性 isCallerinRole(x) 方法(对于企业 bean)或 isUserInRole(x) 方法(对于 Web 应用程序)执行。如果 SMF 审计记录策略属性设置为 ASISNOFAILNONE,com.ibm.security.SAF.EJBROLE.Audit.Messages.Suppress 属性控制由此调用生成的消息。如果 SMF 审计记录策略设置为 Default,那么始终对管理角色启用消息禁止。
避免故障:
  • 如果在 V7.0.0.3 或更高版本上运行,并且不希望在 SMF 审计记录策略设置为 Default时禁止管理角色消息,请将 com.ibm.security.SAF.EJBROLE.Audit.Messages.Suppress.Admin 属性设置为 false。 为此属性指定的值会覆盖控制管理角色消息禁止的任何其他设置。
  • 当使用第三方授权产品(例如 Tivoli Access Manager 或 SAF for z/OS)时,管理控制台面板中的信息可能未表示提供程序中的数据。并且,对此面板所作的更改可能不会自动在提供程序中有所反映。请按照提供程序的指示信息执行操作,以传播对提供程序所作的更改。
gotcha

有关 SAF 授权的更多信息,请参阅信息中心中的“在使用本地操作系统注册表时控制对控制台用户的访问”。有关管理角色的更多信息,请参阅信息中心中的“管理角色”。

缺省值: 已禁用,即不抑制消息。
SMF 审计记录策略

确定何时将审计记录写入系统管理设施(SMF)。对于每个授权调用,RACF® 或等效的基于 SAF 的产品都可将审计记录和授权检查结果写至 SMF。

WebSphere Application Server for z/OS 使用 SAF RACROUTE AUTH 和 RACROUTE FASTAUTH 操作,并传递安全性配置中指定的 LOG 选项。这些选项是 DEFAULT、ASIS、NOFAIL 和 NONE。

可以从下拉列表中获得以下选项:
DEFAULT

如果指定了多个角色约束(例如,用户必须是一组角色中的某个角色),那么将使用 NOFAIL 选项来检查除最后一个角色以外的所有角色。如果在最后一个角色之前的任何一个角色中授予了权限,WebSphere Application Server 就会写入授权成功的记录。如果在这些角色中未成功地进行授权,那么将使用 ASIS LOG 选项来检查最后一个角色。如果该用户有权使用最后一个角色,那么将写入成功的记录。如果该用户无权使用最后一个角色,那么将写入失败的记录。

ASIS
指定按照用于保护资源的概要文件中指定的方式来记录审计事件,或者按照 SETROPTS 选项指定的方式来记录审计事件。
NOFAIL
指定不记录授权失败。这样,就不会发出授权失败消息,但仍然会写入授权成功的审计记录。
NONE
指定既不记录授权成功也不记录授权失败。

对于失败的 J2EE 授权检查来说,即使进行了多次 SAF 授权调用,也将只写入一个授权失败的记录。有关 SAF RACROUTE AUTH 和 RACROUTE FASTAUTH 的 LOG 选项的更多信息,请参阅 RACF 或基于 SAF 的等同产品的文档。

SAF 概要文件前缀

指定将添加至用于 Java EE 角色的所有 SAF EJBROLE 概要文件添加的前缀。此前缀也用作 APPL 概要文件名称,并且将它插入概要文件名称中用于进行 CBIND 检查。“SAF 概要文件前缀”字段没有缺省值。如果未显式指定前缀,那么不会将前缀添加至 SAF EJBROLE 概要文件,而是将缺省值 CBS390 用作 APPL 概要文件名称,并且不会将任何内容插入概要文件名称中以进行 CBIND 检查。

可以使用 APPL 概要文件来限制对 WebSphere Application Server 的访问

如果您定义了 SAF 概要文件前缀,那么使用的 APPL 概要文件是该概要文件前缀。否则,APPL 概要文件名称为 CBS390。使用 WebSphere 服务的所有 z/OS 标识都应该对 APPL 概要文件具有 READ 许可权。这包括所有 WebSphere Application Server 标识、WebSphere Application Server 未认证标识、WebSphere Application Server 管理标识、基于角色至用户映射的用户标识和系统用户的所有用户标识。注意,如果 APPL 类在 z/OS 系统上未处于活动状态,那么无论此属性的值是什么,它都无效。

注: SAF 概要文件前缀对应于 security.xml 文件中的 com.ibm.security.SAF.profilePrefix.name 属性。



标有(在线)的链接要求访问因特网。

相关概念
相关任务
相关参考


文件名: usec_safpropszos.html