如果要在 Liberty 上啟用 J2C 連線的 syncToOSThread,請搭配其他配置來使用 appSecurity-1.0 和 zosSecurity-1.0 特性。
開始之前
啟用 J2C 連線的 syncToOSThread 支援需要 appSecurity-1.0 和 zosSecurity-1.0 特性。
另外,您也必須定義 syncToOSThread 配置元素。
此外,您必須利用 SAF 登錄來進行鑑別,且必須能夠使用已授權的 SAF 服務。
syncToOSThread 支援需要已授權的 SAF 服務,因此,Angel Process 必須已啟動且在執行中,且伺服器必須已連接這個程序。
如需 Angel Process 的相關資訊,請參閱z/OS 上的程序類型。
程序
- 新增 appSecurity-1.0 和 zosSecurity-1.0 特性,利用 j2cEnabled="true" 屬性來定義 syncToOSThread 配置元素,以配置伺服器來啟用 J2C 連線的 syncToOSThread。
另外,請務必將 SAF 登錄用於鑑別:
<featureManager>
<feature>appSecurity-1.0</feature>
<feature>zosSecurity-1.0</feature>
</featureManager>
<safRegistry id="saf" />
<syncToOSThread j2cEnabled="true" />
註: - 如果連線會使用指定了 res-auth=container 的資源,則設定 j2cEnabled=true,會對 type-2 J2C 連線啟用 syncToOSThread。啟用 syncToOSThread,會在建立連線期間,使 Java™ RunAs 身分與 OS 身分同步化。連線會進而與 OS 身分產生關聯,且會指派與 OS 身分相同的許可權和專用權。
- 如果您想要使用 syncToOSThread,請勿指定資料來源的 JAAS 別名。
如果定義了 JAAS 別名,它會置換 OS 身分。
- 利用下列設定檔來配置 SAF 產品,授與伺服器執行 syncToOSThread 作業的許可權:
- 授與伺服器使用者 ID 對於 FACILITY 類別中之 BBG.SYNC.<profilePrefix> 設定檔的 CONTROL 存取權。
如此伺服器就能夠使任何執行身分與 OS 身分同步:
PERMIT BBG.SYNC.<profilePrefix> ID(<serverUserId>) ACCESS(CONTROL) CLASS(FACILITY)
- 授與伺服器使用者 ID 對於 FACILITY 類別中之 BBG.SYNC.<profilePrefix> 設定檔的 READ 存取權。
另外,授與伺服器使用者 ID 對於 SURROGATE 類別中一或多個 BBG.SYNC.<runAsUserId> 設定檔的 READ 存取權,每個要與 OS 身分同步的執行身分各一個:
PERMIT BBG.SYNC.<profilePrefix> ID(<serverUserId>) ACCESS(READ) CLASS(FACILITY)
PERMIT BBG.SYNC.<runAsUserId> ID(<serverUserId>) ACCESS(READ) CLASS(SURROGAT)
註: 依預設,<profilePrefix> 是 "BBGZDFLT",您可以利用配置檔中的 <safCredentials profilePrefix="xx"> 來配置它。
如需 syncToOSThread 的相關資訊,請參閱 WebSphere Application Server for z/OS 說明文件中,Java 執行緒身分和作業系統執行緒身分的相關資訊。