Opzioni di sicurezza z/OS

Utilizzare questa pagina per stabilire quali opzioni di sicurezza globale specificare per il server delle applicazioni per z/OS.

Per visualizzare questa pagina della console di gestione, fare clic su Sicurezza > Sicurezza globale > Opzioni di sicurezza z/OS.

È anche possibile visualizzare questa pagina della console di gestione effettuando le operazioni riportate di seguito:
  1. Fare clic su Server > Tipi di server > WebSphere application server > nome_server.
  2. In Sicurezza, fare clic su Dominio server.
  3. Fare clic su Opzioni di sicurezza z/OS.

Se la sicurezza viene configurata per la prima volta, completare la procedura nell'articolo relativo alla sicurezza globale prima di eseguire modifiche. Una volta configurata la sicurezza, convalidare qualsiasi modifica apportata ai pannelli del registro utente o del meccanismo di autenticazione. Fare clic su Applica per convalidare le impostazioni del registro utenti. Viene effettuato un tentativo di autenticare l'ID server sul registro utenti configurato. La convalida delle impostazioni del registro utenti dopo l'abilitazione della sicurezza globale può ridurre potenziali problemi la prima volta che viene riavviato il server.

Identità remota

Specifica l'ID utente SAF presunto per i client non autenticati IIOP (Internet Inter-ORB Protocol) che effettuano richieste di questo server da un altro sistema.

Specifica se è consentita un'identità dell'applicazione remota.

Nota: Queste informazioni sono valide per la Versione 6.0.x e i server precedenti associati in una cella Versione 6.1.
Identità locale

Specifica l'ID utente SAF presunto per i client non autenticati IIOP (Internet Inter-ORB Protocol) che effettuano richieste di questo server dallo stesso sistema.

Specifica se è consentita un'identità dell'applicazione locale.

Nota: Queste informazioni sono valide per la Versione 6.0.x e i server precedenti associati in una cella Versione 6.1.
Abilitare server delle applicazioni e sincronizzazione di identità del thread z/OS

Specifica che i server delle applicazioni possono elaborare l'opzione SyncToOSThread per i componenti di applicazione che la specificano.

La selezione di questa opzione indica se un'identità del thread del sistema operativo è abilitato per la sincronizzazione con l'identità Java Platform, Enterprise Edition (Java EE) utilizzata nel runtime del server delle applicazioni se un'applicazione viene codificata per richiedere questa funzione..

La sincronizzazione dell'identità del sistema operativo con l'identità Java EE determina la sincronizzazione dell'identità del sistema operativo con il chiamante autenticato o con l'identità RunAs delegata in un servlet o file EJB (Enterprise JavaBeans). Tale sincronizzazione o associazione indica che il chiamante o l'identità del ruolo di sicurezza, anziché l'identità dell'area server, vengono utilizzati per le richieste di servizio del sistema z/OS, come l'accesso ai file.

Affinché questa funzione sia attiva, sono necessarie le seguenti condizioni:
  • Il valore Sincronizzazione sul thread OS consentita è impostato su true.
  • Un'applicazione include all'interno del descrittore di distribuzione una env-entry di com.ibm.websphere.security.SyncToOSThread impostata su true.
  • Il repository account utenti configurato è il sistema operativo locale.

Se si verificano queste condizioni, l'identità thread OS viene inizialmente impostata sull'identità chiamante autenticata di una richiesta Web o EJB. Il thread OS viene modificato ad ogni modifica dell'identità Java EE. L'identità Java EE può essere modificata da una specifica RunAs su un descrittore di distribuzione o da una richiesta WSSubject.doAs() programmatica.

Se il valore Sincronizzazione sul thread OS consentita è impostato su false, che è l'impostazione predefinita, non è possibile modificare l'identità sul thread del sistema operativo dell'impostazione del descrittore di distribuzione nel descrittore di distribuzione dell'applicazione installata. Se il server non è configurato per accettare la sincronizzazione e il descrittore di distribuzione com.ibm.websphere.security.SyncToOSThread dell'applicazione è impostato su true, viene emessa un'avvertenza BBOJ0080W che afferma che EJB richiede l'opzione SyncToOSThread, ma il server non è abilitato per l'opzione SyncToOSThread.

Importante: questa opzione aumenta in modo considerevole il numero di 80 record SMF utilizzati per il controllo sicurezza. Se il controllo sicurezza è attivato per 80 record SMF, la quantità di DASD utilizzata aumenta considerevolmente.

Abilitare l'identità del thread RunAs del gestore connessioni

Imposta l'identità MVS associata all'identità Java EE (Java Platform, Enterprise Edition) nel thread di esecuzione. I connettori J2CA (Java EE Connector architecture) locali possono supportare l'identità MVS per l'autenticazione e l'autorizzazione quando un'applicazione richiede una connessione.

Quando si abilita questa impostazione, il metodo può elaborare una richiesta che modifica l'identità del sistema operativo in modo da riflettere l'identità Java EE (Java Platform, Enterprise Edition). Questa funzione è necessaria per trarre vantaggio dal supporto di identità del thread. I connettori J2CA (Java EE Connector architecture) che accedono alle risorse locali su un sistema z/OS possono utilizzare il supporto di identità thread. Una serie di connettori J2CA che accede alle risorse z/OS locali viene impostata come predefinita sull'identità Java EE dell'applicazione se si verificano tutte le seguenti condizioni:
  • L'autorizzazione di risorsa è impostata su gestito dal contenitore (res-auth=container).
  • Una voce alias non viene codificata durante la distribuzione dell'applicazione.
  • L'impostazione Sincronizzazione sul thread OS del gestore connessioni è impostata su abilitato.

Ad esempio, se si dispone di una politica di sicurezza DB2 per z/OS pre-esistente che controlla gli utenti che hanno accesso a ciascuna tabella, è possibile applicare la politica quando gli utenti accedono alle applicazioni WebSphere che accedono anche a DB2 per z/OS. L'identità Java EE (l'identità del client per impostazione predefinita) anziché l'identità del sistema operativo (identità del server) viene utilizzata per stabilire connessioni a DB2 per z/OS quando si seleziona identità RunAs abilitata del gestore connessioni. L'accesso di tabella DB2 per z/OS per l'applicazione è determinato mediante la politica di sicurezza DB2 per z/OS preesistente.

Ogni connettore J2CA che utilizza il supporto di identità thread deve supportare tale identità. CICS (Customer Information Control System), IMS (Information Management System) e DB2 (DATABASE 2) supportano l'identità del thread. CICS e IMS supportano l'identità del thread solo se CICS o IMS di destinazione viene configurato sullo stesso sistema del server delle applicazioni per z/OS. DB2 supporta sempre l'identità del thread. Se un connettore non supporta l'identità thread, l'identità dell'utente associata alla connessione si basa sull'identità dell'utente predefinita, supportata da un connettore particolare.

Tipo dati Booleano
Valore predefinito Disabilitato
Intervallo Abilitato o disabilitato



I collegamenti contrassegnati (online) richiedono un accesso a Internet.

Concetti correlati
Attività correlate
Riferimenti correlati
Impostazioni di sicurezza globale


Nome file: usec_zos_globalsec.html