For z/OS platforms

Protección de adaptadores locales optimizados para soporte de salida en Liberty para z/OS

Proteja sus conexiones de adaptadores locales optimizados WebSphere (WOLA) que realizan llamadas de salida desde el servidor Liberty.

Procedimiento

  1. Opcional: Configure la seguridad del lado del servidor.
    1. Ejecute los servidores Liberty en z/OS con seguridad de servidor. Para obtener más información, consulte los apartados Configuración de la autorización para aplicaciones en Liberty y Habilitación de los servicios autorizados de z/OS en Liberty para z/OS.
    2. Si está llamando desde un servidor Liberty al sistema Customer Information Control System (CICS) y la seguridad está habilitada en el servidor de enlaces CICS, elija un ID de usuario para ejecutar el programa CICS de destino.

      De forma predeterminada, el asunto de invocación obtiene el ID de usuario MVS que ejecuta el programa CICS de destino. El asunto de invocación es el asunto que ejecuta el componente de aplicación que realiza la solicitud de adaptadores locales optimizados. En muchos casos, este asunto es la identidad run-as que se ha configurado en el descriptor de despliegue de la aplicación.

      Puede definir un asunto alternativo en el asunto de invocación de una de estas tres formas:
      • En la configuración de fábrica de conexiones, especifique un ID de usuario y una contraseña en un elemento authData y haga referencia al elemento en el elemento connectionFactory. En el ejemplo siguiente, la fábrica de conexiones de adaptadores locales optimizados hace referencia al elemento auth2 authData que especifica un ID de usuario user2 y una contraseña asociados.
        <connectionFactory jndiName="eis/ola" containerAuthDataRef="auth2">
         <properties.ola RegisterName="OLASERVER"/>
        </connectionFactory>
        <authData id="auth2" user="user2" password="{xor}Lz4sLCgwLTtt"/>

        Para obtener más información sobre la configuración de las fábricas de conexiones, consulte Configuración de fábricas de conexiones JCA.

      • El administrador del sistema puede proporcionar un ID de usuario y una contraseña en la fábrica de conexiones de adaptadores locales optimizados. Para obtener más información, consulte Propiedades de fábrica de conexiones para adaptadores locales optimizados en Liberty.
      • El desarrollador de aplicaciones puede proporcionar un ID de usuario y una contraseña en el objeto ConnectionSpec que obtiene una conexión de la fábrica de conexiones de adaptadores locales optimizados.

      El servicio de seguridad intenta autenticarse con el ID de usuario y la contraseña que se han proporcionado. Si la autenticación es satisfactoria, el asunto nuevo obtendrá el ID de usuario MVS que ejecuta el programa CICS de destino.

    3. Si está llamando desde un servidor Liberty al sistema IBM Information Management System (IMS) utilizando OTMA, el servidor Liberty puede propagar el ID de usuario actual a la región IMS, si el servidor Liberty y la aplicación se han configurado ambos para utilizar sync-to-OS-thread. La región IMS tambiébn se debe estar ejecutando con la opción OTMASE=FULL en el miembro IMSPBxxx PROCLIB.
  2. Configure la seguridad del lado de cliente.
    1. Si ha habilitado CBIND en System Authorization Facility (SAF), otorgue acceso a los clientes que van a utilizar los adaptadores locales optimizados.
      1. Defina un perfil para el servidor Liberty en la clase CBIND. El nombre de perfil es BBG.WOLA.<WOLA1>.<WOLA2>.<WOLA3>, donde WOLA1,WOLA2 y WOLA3 son las tres partes del nombre del grupo de adaptadores optimizados que se han especificado en el elemento <zosLocalAdapters> en el archivo server.xml. Puede definir un perfil utilizando el mandato TSO de SAF RDEFINE. Por ejemplo, el mandato siguiente crea un perfil en la clase CBIND para un grupo WOLA denominado LIB1.LIB2.LIB3:
        rdef cbind bbg.wola.lib1.lib2.lib3 uacc(none)
      2. Permita el acceso READ al perfil. Por ejemplo, el mandato siguiente permite el acceso de lectura para el nombre de usuario username en el perfil bbg.wola.lib1.lib2.lib3:
        permit bbg.wola.lib1.lib2.lib3 class(cbind) access(read) id(username)
        Puede utilizar asteriscos para permitir el acceso de usuario a varios perfiles. El ejemplo siguiente permite el acceso READ al usuario username para todos los perfiles que empiezan por bbg.wola en la clase CBIND:
        rdef cbind bbg.wola.* uacc(none)
        permit bbg.wola.* class(cbind) access(read) id(username)

      Para obtener más información sobre los mandatos SAF y su sintaxis, consulte la documentación de su versión de z/OS.

    2. Si está ejecutando un servidor de enlaces CICS con seguridad habilitada, configure CICS para habilitar la aserción de identidad de usuario.
      1. Compruebe que la región CICS se esté ejecutando con la seguridad habilitada y con la comprobación de EXEC CICS START habilitada.
        • Habilite la seguridad durante el arranque de CICS especificando el parámetro SEC=YES.
        • Habilite la comprobación EXEC CICS START durante el arranque especificando el parámetro XUSER=YES.

        Para obtener más información sobre los parámetros de inicialización del sistema CICS, consulte en la documentación su versión de CICS.

      2. Cree una definición de clases SURROGAT de System Authorization Facility (SAF) que permita al ID de usuario del servidor de enlaces emitir el mandato EXEC CICS START TRAN('BBO#') USERID(<propagated_id>).
        En el ejemplo siguiente se muestra una clase SURROGAT que se ha definido para el ID de usuario USER1. La clase permite que el ID de usuario OLASERVE ejecute el mandato EXEC CICS START TRANS(BBO#) USERID(USER1) y procese transacciones de enlaces CICS de adaptadores locales optimizados que se ejecutan con la identidad de USER1.
        RDEFINE SURROGAT USER1.DFHSTART UACC(NONE) OWNER(USER1)  
        PERMIT USER1.DFHSTART CLASS(SURROGAT) ID(USER1)          
        PERMIT USER1.DFHSTART CLASS(SURROGAT) ID(OLASERVE)       
        SETROPTS RACLIST(SURROGAT) REFRESH 

        Para obtener más información sobre cómo definir una clase SURROGAT, consulte la documentación de su versión de CICS.


Icono que indica el tipo de tema Tema de tarea

Nombre de archivo: twlp_dat_security_out.html