
Optimierte lokale Adapter für abgehende Unterstützung in Liberty für z/OS sichern
Sichern Sie Ihre WOLA-Verbindungen (WebSphere Optimized Local Adapters, optimierte lokale WebSphere-Adapter), die abgehende Aufrufe über den Liberty-Server absetzen.
Vorgehensweise
- Optional: Konfigurieren Sie die serverseitige Sicherheit.
- Führen Sie die Liberty-Server unter z/OS mit Serversicherheit aus. Weitere Informationen finden Sie unter Berechtigung für Anwendungen in Liberty konfigurieren und Berechtigte z/OS-Services in Liberty für z/OS aktivieren.
- Wenn Sie einen Aufruf über einen Liberty-Server an
Customer Information Control System (CICS) absetzen und die Sicherheit
im CICS-Link-Server aktiviert ist, wählen Sie eine Benutzer-ID für die Ausführung
des CICS-Zielprogramms aus.
Standardmäßig ruft das Aufrufsubjekt die MVS-Benutzer-ID ab, die das CICS-Zielprogramm ausführt. Das Aufrufsubjekt ist das Subjekt, das die Anwendungskomponente ausführt, die die OLA-Anforderung absetzt. In vielen Fällen ist dieses Subjekt die RunAs-ID, die im Anwendungsimplementierungsdeskriptor konfiguriert ist.
Es gibt drei Möglichkeiten, ein alternatives Subjekt für das Aufrufsubjekt zu definieren:- Geben Sie in der Verbindungsfactory-Konfiguration eine Benutzer-ID und ein Kennwort in einem
authData-Element an und referenzieren Sie das Element im Element connectionFactory.
Im folgenden Beispiel referenziert die OLA-Verbindungsfactory das
authData-Element auth2, das die Benutzer-ID user2 und ein zugehöriges Kennwort angibt.
<connectionFactory jndiName="eis/ola" containerAuthDataRef="auth2"> <properties.ola RegisterName="OLASERVER"/> </connectionFactory> <authData id="auth2" user="user2" password="{xor}Lz4sLCgwLTtt"/>
Weitere Informationen zur Konfiguration von Verbindungsfactorys finden Sie unter JCA-Verbindungsfactorys konfigurieren.
- Der Systemadministrator kann eine Benutzer-ID und ein Kennwort in der OLA-Verbindungsfactory angeben. Weitere Informationen finden Sie im Artikel Verbindungsfactory-Eigenschaften für optimierte lokale Adapter in Liberty.
- Der Anwendungsentwickler kann eine Benutzer-ID und ein Kennwort in dem ConnectionSpec-Objekt angeben, das eine Verbindung von der OLA-Verbindungsfactory abruft.
Der Sicherheitsservice versucht, sich mit der angegebenen Benutzer-ID und dem angegebenen Kennwort zu authentifizieren. Wenn die Authentifizierung erfolgreich ist, ruft das neue Subjekt die MVS-Benutzer-ID ab, die das CICS-Zielprogramm ausführt.
- Geben Sie in der Verbindungsfactory-Konfiguration eine Benutzer-ID und ein Kennwort in einem
authData-Element an und referenzieren Sie das Element im Element connectionFactory.
Im folgenden Beispiel referenziert die OLA-Verbindungsfactory das
authData-Element auth2, das die Benutzer-ID user2 und ein zugehöriges Kennwort angibt.
- Wenn Sie IBM Information Management System (IMS) mit OTMA von einem Liberty-Server aufrufen, kann der Liberty-Server die aktuelle Benutzer-ID an die IMS-Region weitergeben, wenn der Liberty-Server und die Anwendung beide für die Verwendung von "sync-to-OS-thread" konfiguriert sind. Die IMS-Region muss außerdem mit der Option OTMASE=FULL im IMSPBxxx-PROCLIB-Member ausgeführt werden.
- Konfigurieren Sie die clientseitige Sicherheit.
- Wenn CBIND in System Authorization Facility (SAF) aktiviert ist,
gewähren Sie den Clients Zugriff, die die optimierten lokalen Adapter verwenden.
- Definieren Sie ein Profil für den Liberty-Server in der CBIND-Klasse. Der Profilname ist "BBG.WOLA.<WOLA1>.<WOLA2>.<WOLA3>", wobei
WOLA1, WOLA2 und WOLA3 die drei Teile des OLA-Gruppennamens
darstellen, die im Element <zosLocalAdapters> in der Datei server.xml angegeben sind.
Sie können ein Profil mit dem SAF-TSO-Befehl RDEFINE definieren. Der folgende Befehl erstellt
beispielsweise ein Profil in der CBIND-Klasse für eine WOLA-Gruppe mit dem Namen LIB1.LIB2.LIB3:
rdef cbind bbg.wola.lib1.lib2.lib3 uacc(none)
- Erteilen Sie den Lesezugriff auf das Profil. Der folgende Befehl erteilt beispielsweise dem Benutzernamen username
Lesezugriff auf das Profil "bbg.wola.lib1.lib2.lib3":
permit bbg.wola.lib1.lib2.lib3 class(cbind) access(read) id(username)
Sie können Sterne verwenden, um einem Benutzer Zugriff auf mehrere Profile zu erteilen. Der folgende Beispielbefehl erteilt dem Benutzer username Lesezugriff auf alle Profile in der CBIND-Klasse, die mit bbg.wola beginnen:rdef cbind bbg.wola.* uacc(none) permit bbg.wola.* class(cbind) access(read) id(username)
Weitere Informationen zu SAF-Befehlen und deren Syntax finden Sie in der Dokumentation zu Ihrer Version von z/OS.
- Definieren Sie ein Profil für den Liberty-Server in der CBIND-Klasse. Der Profilname ist "BBG.WOLA.<WOLA1>.<WOLA2>.<WOLA3>", wobei
WOLA1, WOLA2 und WOLA3 die drei Teile des OLA-Gruppennamens
darstellen, die im Element <zosLocalAdapters> in der Datei server.xml angegeben sind.
Sie können ein Profil mit dem SAF-TSO-Befehl RDEFINE definieren. Der folgende Befehl erstellt
beispielsweise ein Profil in der CBIND-Klasse für eine WOLA-Gruppe mit dem Namen LIB1.LIB2.LIB3:
- Wenn Sie einen CICS-Link-Server mit aktivierter Sicherheit ausführen,
aktivieren Sie die Zusicherung von Benutzer-IDs in der CICS-Konfiguration.
- Stellen Sie sicher, dass die CICS-Region
mit aktivierter Sicherheit ausgeführt wird und dass die Überprüfung mit EXEC CICS START aktiviert ist.
- Aktivieren Sie die Sicherheit beim CICS-Start, indem Sie den Parameter SEC=YES angeben.
- Aktivieren Sie die Überprüfung mit EXEC CICS START beim Start, indem Sie den Parameter XUSER=YES angeben.
Weitere Informationen zu den Initialisierungsparametern für das CICS-System finden Sie in der Dokumentation zu Ihrer Version von CICS.
- Erstellen Sie eine SAF-SURROGAT-Klassendefintion, die der Benutzer-ID des Link-Servers ermöglicht,
den Befehl EXEC CICS START TRAN('BBO#') USERID(<weitergegebene_ID>) abzusetzen.
Das folgende Beispiel zeigt eine SURROGAT-Klasse, die für die Benutzer-ID USER1 definiert wurde. Die Klasse ermöglicht der Benutzer-ID OLASERVE, den Befehl EXEC CICS START TRANS(BBO#) USERID(USER1) auszuführen und OLA-CICS-Linktransaktionen zu verarbeiten, die mit der ID USER1 ausgeführt werden.
RDEFINE SURROGAT USER1.DFHSTART UACC(NONE) OWNER(USER1) PERMIT USER1.DFHSTART CLASS(SURROGAT) ID(USER1) PERMIT USER1.DFHSTART CLASS(SURROGAT) ID(OLASERVE) SETROPTS RACLIST(SURROGAT) REFRESH
Weitere Informationen zum Definieren einer SURROGAT-Klasse finden Sie in der Dokumentation zu Ihrer Version von CICS.
- Stellen Sie sicher, dass die CICS-Region
mit aktivierter Sicherheit ausgeführt wird und dass die Überprüfung mit EXEC CICS START aktiviert ist.
- Wenn CBIND in System Authorization Facility (SAF) aktiviert ist,
gewähren Sie den Clients Zugriff, die die optimierten lokalen Adapter verwenden.


Dateiname: twlp_dat_security_out.html