Für z/OS-Plattformen

Optimierte lokale Adapter für eingehende Unterstützung in Liberty for z/OS sichern

Sichern Sie Ihre WOLA-Verbindungen (WebSphere Optimized Local Adapter), die eingehende Aufrufe an den Liberty-Server absetzen.

Vorbereitende Schritte

Führen Sie die Liberty-Server unter z/OS mit Serversicherheit aus. Weitere Informationen finden Sie unter Sicherheit.

Der lokale Zugriff auf die Server von Liberty for z/OS wird mit der SAF-Kasse (System Authorization Facility) CBIND gesichert. Ist diese Klasse aktiviert, wird sie verwendet, um Liberty-Server zu schützen, wenn Anforderungen optimierter lokaler Adapter abgesetzt werden. Bevor Sie eine Anwendung ausführen, die die API "Register" verwendet, gewähren Sie der CBIND-Klasse für den Zielserver Lesezugriff (READ) für die Benutzer-ID für den Job, den UNIX System Services-Prozess oder die CICS-Region (Customer Information Control System).

Alle eingehenden Anforderungen an den Liberty-Server werden unter der Berechtigung des aktuellen Benutzers im Thread ausgeführt. Diese Identität wird automatisch weitergegeben und im EJB-Container (Enterprise JavaBeans) bestätigt und die Anwendung wird mit dieser Identität gestartet. Eingehende Anforderungen, die in eine Ziel-Enterprise-Bean geleitet werden, kommen ebenso an, wie Methodenaufrufe für lokale EJB-Anforderungen. Die Sicherheitsoptionen für RunAs funktionieren genauso wie lokale EJB-Anforderungen.

Wenn eingehende und abgehende Transaktionen zwischen CICS und Liberty for z/OS übergeben werden, müssen Sie einige besondere Sicherheitsaspekte berücksichtigen. Sie müssen beispielsweise festlegen, ob die Authentifizierung für eingehende Arbeit für den Liberty-Server mit der Berechtigung der CICS-Anwendung oder der allgemeinen Berechtigung der CICS-Region ausgeführt wird. Ähnliche Überlegungen gelten, wenn der Liberty-Server abgehende Arbeit an eine CICS-Anwendung sendet. Sie müssen dann festlegen, ob CICS die ursprüngliche Anwendungsberechtigung oder das eigene aktuelle CICS-Sicherheitsprofil berücksichtigt.
Achtung: Sie müssen sicherstellen, dass die Clientanwendungen für CICS authentifiziert sind, damit die Anforderung verarbeitet wird.

Für die Übergabe von Anforderungen an den Liberty-Server über CICS können Sie angeben, dass die aktuelle CICS-Anwendungsidentität verwendet werden soll, indem Sie ein Flag zu diesem Zweck beim Aufruf der API "Register" festlegen.

Vorgehensweise


Symbol das den Typ des Artikels anzeigt. Taskartikel

Dateiname: twlp_dat_security_in.html