z/OS 安全選項

請利用這個頁面來決定要指定哪些「廣域安全」選項,以用於 z/OS® 的應用程式伺服器。

如果要檢視這個管理主控台頁面,請按一下安全 > 廣域安全 > z/OS 安全選項

您也可以完成下列步驟來檢視這個管理主控台頁面:
  1. 按一下伺服器 > 伺服器類型 > WebSphere 應用程式伺服器 > server_name
  2. 在「安全」下,按一下伺服器網域
  3. 按一下 z/OS 安全選項

如果您是第一次配置安全功能,請在變更之前,完成「廣域安全」一文中的步驟。 配置好安全之後,請驗證使用者登錄或鑑別機制畫面的任何變更。 請按一下套用來驗證使用者登錄設定。 您想要讓已配置的使用者登錄來鑑別伺服器 ID。 在啟用廣域安全功能之後驗證使用者登錄設定,可以減少在第一次重新啟動伺服器時,所可能發生的問題。

遠端身分

指定從另一個系統要求這部伺服器的網際網路交互 ORB 通訊協定 (IIOP) 未經鑑別用戶端所採用的系統授權機能 (SAF) 使用者 ID。

指定是否允許應用程式遠端身分。

註: 此資訊只適用於已聯合到 6.1 版 Cell 中的 6.0.x 和舊版伺服器。
本端身分

指定從相同系統要求這部伺服器的網際網路交互 ORB 通訊協定 (IIOP) 未經鑑別的用戶端所採用的 SAF 使用者 ID。

指定是否允許應用程式本端身分。

註: 此資訊只適用於已聯合到 6.1 版 Cell 中的 6.0.x 和舊版伺服器。
啟用應用程式伺服器和 z/OS 執行緒身分的同步化

指定如果應用程式元件指定了 SyncToOSThread 選項,應用程式伺服器可以處理這個選項。

選取這個選項會指出在應用程式編寫成要求這項功能時,作業系統執行緒身分是否能與應用程式伺服器執行時期所用的 Java™ 2 Platform Enterprise Edition (Java EE) 身分同步。

將作業系統身分與 Java EE 身分同步,會使作業系統身分與經過鑑別的呼叫端或是 Servlet 或 Enterprise JavaBeans™ (EJB) 檔中已委派的執行身分同步。 這項同步作業或關聯表示 z/OS 系統服務要求(如存取檔案)會使用呼叫端或安全角色身分,而不是伺服器區域身分。

如果要使這項功能成為作用中,便必須符合下列條件:
  • 「允許與 OS 執行緒同步」值是 true
  • 在應用程式的部署描述子內,com.ibm.websphere.security.SyncToOSThread 的 env-entry 設為 true
  • 所配置的使用者帳戶儲存庫為本端作業系統。

當這些條件為真 (true) 時,OS 執行緒身分最初即會設定為 Web 或 EJB 要求之已鑑別的呼叫端身分。每次修改 Java EE 身分時,OS 執行緒也會隨之修改。 Java EE 身分可以由部署描述子的執行身分規格或程式化的 WSSubject.doAs() 要求來修改。

如果「允許與 OS 執行緒同步」值是 false(預設值),便會停用修改作業系統執行緒身分及已安裝的應用程式之部署描述子中的部署描述子設定的功能。如果伺服器未配置成接受啟用同步化功能,且應用程式部署描述子 com.ibm.websphere.security.SyncToOSThread 設為 true,便會發出 BBOJ0080W 警告訊息,指出 EJB 要求 SyncToOSThread 選項,但伺服器未啟用 SyncToOSThread 選項。

重要事項:這個選項會大幅增加安全審核所用的 SMF 80 記錄的數目。 當開啟 SMF 80 記錄的安全審核時,所用的 DASD 數量會大幅增加。

啟用連線管理程式執行身分為執行緒身分

在執行緒上,設定關聯於 Java Platform Enterprise Edition (Java EE) 身分的 MVS™ 身分。 當應用程式要求連線時,本端 Java EE 連接器架構 (J2CA) 連接器可允許使用 MVS 身分來進行鑑別和授權。

當您啟用這個設定時,這個方法可以處理修改作業系統身分來反映 Java Platform Enterprise Edition (Java EE) 身分的要求。 如果您要利用執行緒身分支援,就需要這個功能。存取 z/OS 系統中之本端資源的 Java EE 連接器架構 (J2CA) 連接器,可以使用執行緒身分支援。 如果符合下列所有條件,就會將一組存取本端 z/OS 資源的 J2CA 連接器,預設為應用程式的 Java EE 身分:
  • 資源權限設定為儲存器管理 (res-auth=container)。
  • 部署應用程式時未撰寫別名項目的程式碼。
  • 「連線管理程式和 OS 執行緒同步」的設定為已啟用

比方說,如果您有一個預先存在的 DB2® for z/OS 安全原則,用來控制哪些使用者有權存取各份表格,您會想在使用者存取也會進一步存取 DB2 for z/OS 的 WebSphere® 應用程式時,強制執行這個原則。 當選擇「啟用連線管理程式執行身分」時,會採用 Java EE 身分(依預設,是用戶端身分),而不是作業系統身分(伺服器身分),來建立與 DB2 for z/OS 的連線。 應用程式的 DB2 for z/OS 表格存取權是利用預先存在的 DB2 for z/OS 安全原則來決定的。

任何使用執行緒身分支援的 J2CA 連接器,都必須支援執行緒身分。 客戶資訊控制系統 (CICS®)、資訊管理系統 (IMS™) 和 DATABASE 2 (DB2) 都支援執行緒身分。 只有在和 z/OS 應用程式伺服器相同的系統上配置了目標 CICS 或 IMS 時,CICS 和 IMS 才支援執行緒身分。 DB2 一律支援執行緒身分。 如果連接器不支援執行緒身分,與連線相關聯的使用者身分會以特定連接器所支援的預設使用者身分為基礎。

資料類型 布林
預設值 停用
範圍 啟用或停用



標示(線上)的鏈結表示需要存取網際網路。

相關概念
相關工作
相關參考
廣域安全設定


檔名: usec_zos_globalsec.html