Für z/OS-Plattformen

syncToOSThread für J2C-Verbindungen aktivieren

Um syncToOSThread für J2C-Verbindungen in Liberty zu aktivieren, verwenden Sie die Features appSecurity-1.0 und zosSecurity-1.0 mit zusätzlicher Konfiguration.

Vorbereitende Schritte

Voraussetzung für die Aktivierung der syncToOSThread-Unterstützung für J2C-Verbindungen sind die Features appSecurity-1.0 und zosSecurity-1.0. Außerdem müssen Sie das Konfigurationselement syncToOSThread definieren. Darüber hinaus müssen Sie die SAF-Registry für Authentifizierung verwenden und berechtigte SAF-Services müssen verfügbar sein.

Da für die syncToOSThread-Unterstützung berechtigte SAF-Services erforderlich sind, muss der Angel-Prozess betriebsbereit und mit dem Server verbunden sein. Weitere Informationen zum Angel-Prozess finden Sie unter Prozesstypen unter z/OS.

Vorgehensweise

  1. Konfigurieren Sie den Server, um syncToOSThread für J2C-Verbindungen zu aktivieren, indem Sie die Features appSecurity-1.0 und zosSecurity-1.0 hinzufügen, und definieren Sie das syncToOSThread-Konfigurationselement mit dem Attribut j2cEnabled="true". Stellen Sie zudem sicher, dass die SAF-Registry für die Authentifizierung verwendet wird.
    <featureManager>
    	<feature>appSecurity-1.0</feature>
    	<feature>zosSecurity-1.0</feature>
    </featureManager>
    
    <safRegistry id="saf" />
    <syncToOSThread j2cEnabled="true" />
    Anmerkung:
    • Für Verbindungen, die eine Ressource verwenden, die res-auth=container angibt, aktiviert die Einstellung j2cEnabled=true den syncToOSThread für J2C-Verbindungen vom Typ 2. Wird syncToOSThread aktiviert, wird die Java™-RunAs-Identität mit der Betriebssystemidentität beim Herstellen der Verbindung synchronisiert. Die Verbindung wird dabei der Betriebssystemidentität zugeordnet und erhält dieselben Berechtigungen und Zugriffsrechte wie die Betriebssystemidentität.
    • Geben Sie keinen JAAS-Alias für die Datenquelle an, wenn Sie syncToOSThread verwenden möchten. Der JAAS-Alias, sofern definiert, überschreibt die Betriebssystemidentität.
  2. Erteilen Sie dem Server die Berechtigung, syncToOSThread-Operationen auszuführen, indem Sie Ihr SAF-Produkt mit einem der folgenden Profile konfigurieren:
    • Erteilen Sie der Benutzer-ID des Servers Steuerungszugriff (CONTROL) auf das Profil BBG.SYNC.<Profilpräfix> in der FACILITY-Klasse. Dadurch kann der Server RunAs-Identitäten mit der Betriebssystemidentität synchronisieren:
      PERMIT BBG.SYNC.<Profilpräfix> ID(<Benutzer-ID_des_Servers>) ACCESS(CONTROL) CLASS(FACILITY)
    • Erteilen Sie der Benutzer-ID des Servers Lesezugriff (READ) auf das Profil BBG.SYNC.<Profilpräfix> in der FACILITY-Klasse. Erteilen Sie außerdem der Benutzer-ID des Servers Lesezugriff (READ) auf ein oder mehrere Profile BBG.SYNC.<RunAs-Benutzer-ID> in der SURROGATE-Klasse, d. h. ein Profil für jede RunAs-Identität, die mit der Betriebssystemidentität synchronisiert werden soll:
      PERMIT BBG.SYNC.<Profilpräfix> ID(<Benutzer-ID_des_Servers>) ACCESS(READ) CLASS(FACILITY)
      PERMIT BBG.SYNC.<RunAs-Benutzer-ID> ID(<Benutzer-ID_des_Servers>) ACCESS(READ) CLASS(SURROGAT)
    Anmerkung: Das <Profilpräfix> ist standardmäßig "BBGZDFLT" und kann mit dem Element <safCredentials profilePrefix="xx"> in Ihrer Konfigurationsdatei konfiguriert werden.

    Weitere Informationen zu syncToOSThread finden Sie in der Dokumentation zu WebSphere Application Server for z/OS unter "Java-Threadidentität und Betriebssystemthreadidentität".


Symbol das den Typ des Artikels anzeigt. Taskartikel

Dateiname: twlp_synctoosthread_j2c.html