For z/OS platforms

Activation de syncToOSThread pour les applications

Pour activer syncToOSThread sous Liberty, vous utilisez les fonctions appSecurity-1.0 et zosSecurity-1.0 associées à une configuration supplémentaire.

Avant de commencer

L'activation de la prise en charge de syncToOSThread requiert les fonctions appSecurity-1.0 et zosSecurity-1.0. Vous devez aussi définir l'élément de configuration syncToOSThread. De plus, vous devez utiliser le registre de la fonction d'autorisation système pour l'authentification, et les services de la fonction d'autorisation système autorisés doivent être disponibles.

Etant donné que la prise en charge de syncToOSThread requiert les services de la fonction d'autorisation système, le processus ange doit être configuré et exécuté et le serveur doit s'y connecter. Pour plus d'informations sur le processus ange, voir Types de processus sur z/OS.

Procédure

  1. Configurez l'application devant utiliser syncToOSThread en ajoutant l'élément env-entry suivant au descripteur de déploiement de l'application :
    <env-entry>
    	<env-entry-name>com.ibm.websphere.security.SyncToOSThread</env-entry-name>
    	<env-entry-type>java.lang.Boolean</env-entry-type>
    	<env-entry-value>true</env-entry-value>
    </env-entry>
  2. Configurez le serveur sur lequel syncToOSThread doit être activé pour les applications en ajoutant les fonctions appSecurity-1.0 et zosSecurity-1.0 et en définissant l'élément de configuration syncToOSThread avec l'attribut appEnabled="true". De plus, vérifiez que le registre de la fonction d'autorisation système est utilisé pour l'authentification :
    <featureManager>
    	<feature>appSecurity-1.0</feature>
    	<feature>zosSecurity-1.0</feature>
    </featureManager>
    
    <safRegistry id="saf" />
    <syncToOSThread appEnabled="true" />
  3. Accordez au serveur les droits permettant d'exécuter des opérations syncToOSThread en configurant votre produit de fonction d'autorisation système avec l'un des profils suivants :
    • Accordez à l'ID utilisateur du serveur l'accès CONTROL au profil BBG.SYNC.<préfixeProfil> dans la classe FACILITY. Ainsi, le serveur pourra synchroniser toute identité RunAs avec l'identité du système d'exploitation :
      PERMIT BBG.SYNC.<profilePrefix> ID(<serverUserId>) ACCESS(CONTROL) CLASS(FACILITY)
    • Grant the userid of the server READ access to the BBG.SYNC.<profilePrefix> profile in the FACILITY class. Additionally, grant the userid of the server READ access to one or more BBG.SYNC.<runAsUserId> profiles in the SURROGATE class, one for each RunAs identity to be synchronized with the OS identity:
      PERMIT BBG.SYNC.<profilePrefix> ID(<serverUserId>) ACCESS(READ) CLASS(FACILITY)
      PERMIT BBG.SYNC.<runAsUserId> ID(<serverUserId>) ACCESS(READ) CLASS(SURROGAT)
    Remarque : The <profilePrefix> is by default "BBGZDFLT" and can be configured by using the <safCredentials profilePrefix="xx"> element in your configuration file.

    For more information about syncToOSThread, see Java™ thread identity and an operating system thread identity


Icône indiquant le type de rubrique Rubrique Tâche

Nom du fichier : twlp_synctoosthread.html