For z/OS platforms

Enabling syncToOSThread for J2C connections

To enable syncToOSThread for J2C connections on Liberty, you use the appSecurity-1.0 and zosSecurity-1.0 features with additional configuration.

Avant de commencer

Enabling syncToOSThread support for J2C connections requires the appSecurity-1.0 and zosSecurity-1.0 features. You must also define the syncToOSThread configuration element. In addition, you must use the SAF registry for authentication, and authorized SAF services must be available.

Because syncToOSThread support requires authorized SAF services the angel process must be up and running and the server must be connected to it. For more information about the angel process, see Types de processus sur z/OS.

Procédure

  1. Configure the server to enable syncToOSThread for J2C connections by adding the appSecurity-1.0 and zosSecurity-1.0 features and defining the syncToOSThread configuration element with attribute j2cEnabled="true". Additionally, ensure the SAF registry must be used for authentication:
    <featureManager>
    	<feature>appSecurity-1.0</feature>
    	<feature>zosSecurity-1.0</feature>
    </featureManager>
    
    <safRegistry id="saf" />
    <syncToOSThread j2cEnabled="true" />
    Remarque :
    • Pour des connexions utilisant une ressource qui spécifie res-auth=container, définir j2cEnabled=true active syncToOSThread pour les connexions type-2 J2C. L'activation de syncToOSThread synchronise l'identité RunAs Java™ avec l'identité du système d'exploitation lors de l'établissement de la connexion. Cette connexion est alors associée à l'identité du système d'exploitation et est associée aux mêmes droits et privilèges que l'identité du système d'exploitation.
    • Ne spécifiez pas d'alias JAAS pour la source de données si vous voulez utiliser syncToOSThread. L'alias JAAS, s'il est défini, remplacera l'identité du système d'exploitation.
  2. Accordez au serveur les droits permettant d'exécuter des opérations syncToOSThread en configurant votre produit de fonction d'autorisation système avec l'un des profils suivants :
    • Accordez à l'ID utilisateur du serveur l'accès CONTROL au profil BBG.SYNC.<préfixeProfil> dans la classe FACILITY. Ainsi, le serveur pourra synchroniser toute identité RunAs avec l'identité du système d'exploitation :
      PERMIT BBG.SYNC.<profilePrefix> ID(<serverUserId>) ACCESS(CONTROL) CLASS(FACILITY)
    • Accordez à l'ID utilisateur du serveur l'accès READ au profil BBG.SYNC.<préfixeProfil> dans la classe FACILITY. De plus, accordez à l'ID utilisateur du serveur l'accès READ à un ou plusieurs profils BBG.SYNC.<runAsUserId> dans la classe SURROGATE, un pour chaque identité RunAs à synchroniser avec l'identité du système d'exploitation :
      PERMIT BBG.SYNC.<profilePrefix> ID(<serverUserId>) ACCESS(READ) CLASS(FACILITY)
      PERMIT BBG.SYNC.<runAsUserId> ID(<serverUserId>) ACCESS(READ) CLASS(SURROGAT)
    Remarque : <préfixeProfil> est "BBGZDFLT" par défaut et peut être configuré avec <safCredentials profilePrefix="xx"> dans votre fichier de configuration.

    Pour plus d'informations sur syncToOSThread, consultez la section relative à l'identité d'unité d'exécution Java et l'identité d'unité d'exécution du système d'exploitation, dans la documentation de WebSphere Application Server for z/OS.


Icône indiquant le type de rubrique Rubrique Tâche

Nom du fichier : twlp_synctoosthread_j2c.html