適用於 z/OS 平台

在 z/OS 上啟動及配置 SAF 登錄

「系統授權機能 (SAF)」登錄用來存放執行各種安全相關功能所需要的資訊,例如,鑑別使用者,以及擷取使用者、群組或與使用者相關聯之群組的相關資訊。 您透過配置檔 server.xml 來啟動及配置 SAF 登錄。 此外,您還可以配置 Liberty 伺服器來使用 SAF 授權。

關於這項作業

透過新增適當的特性到 server.xml 檔中,您可以完成下列作業:
  • 啟動 SAF 使用者登錄。
  • 配置 SAF 使用者登錄來使用獲授權的服務。
  • 啟用應用程式使用 SAF 使用者登錄。
  • 配置 SAF 使用者登錄。
依預設,SAF 登錄會利用未獲授權的「UNIX 系統服務 (USS)」來執行鑑別。 為了獲得較佳的效能,您可以配置 SAFCRED 資源來啟用獲授權的 SAF 服務。如需相關資訊,請參閱在 Liberty for z/OS 上啟用 z/OS 授權服務

如需如何配置 Liberty 伺服器來使用 SAF 授權的相關資訊,請參閱在 Liberty 中配置應用程式授權

註:

當您使用 LDAP 和基本(或 SAF)登錄時,會自動聯合使用者登錄。在 Liberty 中,只支援一個領域。如果您沒有指定一個已識別主要領域的聯合儲存庫,則會從已定義的其中一個使用者登錄中,挑選其中一個領域名稱來使用。

當您使用多項登錄,並根據使用者的領域名稱採取動作,請使用所定義的 primaryRealm 屬性來定義 federatedRepository

程序

  1. 啟動 SAF 使用者登錄。 新增 zosSecurity-1.0 特性到 server.xml 檔中:
    <feature>zosSecurity-1.0</feature>
    註: 依預設,SAF 使用者登錄會利用未獲授權的「UNIX 系統服務」服務,例如 __passwd,來執行鑑別。
  2. 為了獲得較佳的效能,請配置 SAFCRED 資源來配置 SAF 使用者登錄,以利用獲授權的服務(如 initACEE)來執行鑑別。如需相關資訊,請參閱在 Liberty for z/OS 上啟用 z/OS 授權服務
  3. 新增 appSecurity-2.0 特性以及 servlet-3.0 特性(針對 Web 應用程式)或 ejbLite-3.1 特性(針對 EJB 應用程式),來啟用應用程式安全。
    <feature>zosSecurity-1.0</feature>
    <feature>appSecurity-2.0</feature>
    <feature>servlet-3.0</feature>
    <feature>ejbLite-3.1</feature>
  4. server.xml 檔中新增 safRegistry 元素來配置 SAF 登錄:
    <safRegistry id="saf" realm="myrealm" />
    safRegistry 元素有下列屬性:
    ID
    唯一識別這個登錄實例的 ID。 這個 ID 可以是任何您想要的任何事物,但關聯於其他已配置的登錄,例如基本登錄和 LDAP 登錄,它必須是唯一的。 您可以利用這個 ID 來參照 server.xml 檔其他元素中的這個登錄實例。
    網域範圍
    與 SAF 登錄相關聯的網域範圍。如果您沒有指定網域範圍,預設值是 Plex 名稱 (ECVTSPLX)。 如果伺服器已獲授權使用 SAFCRED 資源,就會在 REALM 類別之下,擷取 SAFDFLT 設定檔中的 APPLDATA 欄位,以從 SAF 產品中讀取預設網域範圍。 如果這個欄位空白,就會使用預設網域範圍。

指示主題類型的圖示 作業主題

檔名:twlp_config_zos_saf.html