For z/OS platforms

保护在 Liberty for z/OS 上提供出站支持的优化本地适配器

保护从 Liberty 服务器进行出站调用的 WebSphere® 优化本地适配器 (WOLA) 连接。

过程

  1. 可选: 设置服务器端安全性。
    1. 在 z/OS® 上运行 Liberty 服务器并启用服务器安全性。 有关更多信息,请参阅在 Liberty 中为应用程序配置授权在 Liberty for z/OS 上启用 z/OS 授权服务
    2. 如果您要执行从 Liberty 服务器到客户信息控制系统 (CICS®) 的调用,并且在 CICS 链接服务器上启用了安全性,请选择用户标识以运行目标 CICS 程序。

      缺省情况下,调用主体集将获取运行目标 CICS 程序的 MVS 用户标识。调用主体集是运行发出优化本地适配器请求的应用程序组件的主体集。在许多情况下,此主体集是在应用程序部署描述符中配置的运行方式身份。

      可以采用三种方式对调用主体集定义备用主体集:
      • 在连接工厂配置中,在 authData 元素中指定用户标识和密码,并在 connectionFactory 元素中引用该元素。在以下示例中,优化本地适配器连接工厂将引用 auth2 authData 元素,此元素指定用户标识 user2 以及相关联的密码。
        <connectionFactory jndiName="eis/ola" containerAuthDataRef="auth2">
         <properties.ola RegisterName="OLASERVER"/>
        </connectionFactory>
        <authData id="auth2" user="user2" password="{xor}Lz4sLCgwLTtt"/>

        有关配置连接工厂的更多信息,请参阅配置 JCA 连接工厂

      • 系统管理员可以在优化本地适配器连接工厂上提供用户标识和密码。有关更多信息,请参阅Liberty 中的优化本地适配器的连接工厂属性
      • 应用程序开发者可以在 ConnectionSpec 对象上提供用户标识和密码,该对象从优化本地适配器连接工厂获取连接。

      安全服务尝试使用所提供的用户标识和密码进行认证。如果认证成功,那么新的主体集将获得运行目标 CICS 程序的 MVS 用户标识。

    3. 如果要使用 OTMA 执行从 Liberty 服务器到 IBM 信息管理系统 (IMS) 的调用,Liberty 服务器和应用程序都配置为使用 sync-to-OS-thread 时,Liberty 服务器可将当前用户标识传播到 IMS 区域。 IMS 区域必须也使用选项 OTMASE=FULL 在 IMSPBxxx PROCLIB 成员中运行。
  2. 设置客户端安全性。
    1. 如果您在系统授权工具 (SAF) 中启用了 CBIND,请对将使用优化本地适配器的客户机授予访问权。
      1. 在 CBIND 类中,为 Liberty 服务器定义概要文件。概要文件名称为 BBG.WOLA.<WOLA1>.<WOLA2>.<WOLA3>,其中 WOLA1WOLA2WOLA3 是在 server.xml 文件的 <zosLocalAdapters> 元素中指定的优化适配器组名的三个部分。可以使用 SAF RDEFINE TSO 命令来定义概要文件。例如,以下命令将在 CBIND 类中为 WOLA 组创建一个名为 LIB1.LIB2.LIB3 的概要文件:
        rdef cbind bbg.wola.lib1.lib2.lib3 uacc(none)
      2. 允许对该概要文件进行读访问。例如,以下命令将允许对 bbg.wola.lib1.lib2.lib3 概要文件上的 username 用户名进行读访问:
        permit bbg.wola.lib1.lib2.lib3 class(cbind) access(read) id(username)
        可以使用星号以允许用户访问多个概要文件。以下示例允许 username 用户对 CBIND 类中以 bbg.wola 开头的所有概要文件进行读访问:
        rdef cbind bbg.wola.* uacc(none)
        permit bbg.wola.* class(cbind) access(read) id(username)

      有关 SAF 命令和语法的更多信息,请参阅您的 z/OS 版本的文档。

    2. 如果您正在启用了安全性的情况下运行 CICS 链接服务器,请配置 CICS 以启用用户身份断言。
      1. 确保 CICS 区域在启用了安全性并启用了 EXEC CICS START 检查功能的情况下运行。
        • 通过指定 SEC=YES 参数在 CICS 启动时启用安全性。
        • 通过指定 XUSER=YES 参数在启动时启用 EXEC CICS START 检查。

        有关 CICS 系统初始化参数的更多信息,请参阅您的 CICS 版本的文档。

      2. 创建系统授权工具 (SAF) SURROGAT 类定义,以允许链接服务器的用户标识发出 EXEC CICS START TRAN('BBO#') USERID(<propagated_id>) 命令。
        以下示例显示了为用户标识 USER1 定义的 SURROGAT 类。该类使用户标识 OLASERVE 能够运行 EXEC CICS START TRANS(BBO#) USERID(USER1) 命令,并处理使用身份 USER1 来运行的优化本地适配器 CICS 链接事务。
        RDEFINE SURROGAT USER1.DFHSTART UACC(NONE) OWNER(USER1)  
        PERMIT USER1.DFHSTART CLASS(SURROGAT) ID(USER1)          
        PERMIT USER1.DFHSTART CLASS(SURROGAT) ID(OLASERVE)       
        SETROPTS RACLIST(SURROGAT) REFRESH 

        有关定义 SURROGAT 类的更多信息,请参阅您的 CICS 版本的文档。


用于指示主题类型的图标 任务主题

文件名:twlp_dat_security_out.html