Para habilitar syncToOSThread para las conexiones J2C en Liberty, utilice las características
appSecurity-1.0 y zosSecurity-1.0 con la configuración adicional.
Antes de empezar
La habilitación del soporte syncToOSThread de conexiones J2C requiere las
características appSecurity-1.0 y zosSecurity-1.0. También debe definir el elemento de configuración syncToOSThread. Asimismo, debe utilizar el registro SAF para la autenticación, y los servicios SAF autorizados deben estar disponible.
Como el soporte syncToOSThread requiere los servicios SAF autorizados, el proceso ángel debe estar activo y en ejecución, y el servidor debe estar conectado a él. Para obtener más información sobre el proceso ángel, consulte Tipos de proceso en z/OS.
Procedimiento
- Configure el servidor para habilitar syncToOSThread para las conexiones J2C. Para ello, añada las características appSecurity-1.0 y zosSecurity-1.0, y defina el elemento de configuración syncToOSThread con el atributo j2cEnabled="true". Asimismo, asegúrese de que se utilice el registro SAF para la autenticación:
<featureManager>
<feature>appSecurity-1.0</feature>
<feature>zosSecurity-1.0</feature>
</featureManager>
<safRegistry id="saf" />
<syncToOSThread j2cEnabled="true" />
Nota: - Para las conexiones que utilizan un recurso que especifica res-auth=container, si se establece j2cEnabled=true se habilita syncToOSThread para conexiones J2C de tipo 2. La habilitación de syncToOSThread sincroniza la identidad RunAs de Java™ con la identidad de OS durante el establecimiento de la conexión. Por lo tanto la conexión se asocia con la identidad de OS y se le asignan los mismos permisos y privilegios que la identidad de OS.
- No especifique un alias JAAS para el origen de datos si desea utilizar syncToOSThread. El alias JAAS, si se define, alterará temporalmente la identidad de sistema operativo.
- Otorgue al servidor permiso para realizar operaciones syncToOSThread configurando el producto SAF con alguno de los perfiles siguientes:
- Otorgue al ID de usuario del servidor acceso CONTROL al perfil
BBG.SYNC.<profilePrefix> en la clase FACILITY. Esto permite que el servidor sincronice cualquier identidad RunAs con la identidad de sistema operativo:
PERMIT BBG.SYNC.<profilePrefix> ID(<serverUserId>) ACCESS(CONTROL) CLASS(FACILITY)
- Otorgue al ID de usuario del servidor acceso READ al perfil
BBG.SYNC.<profilePrefix> en la clase FACILITY.
Asimismo, otorgue al ID de usuario del servidor acceso READ a uno o varios perfiles
BBG.SYNC.<runAsUserId> en la clase SURROGATE, uno para cada identidad RunAs que se va a sincronizar con la identidad de sistema operativo:
PERMIT BBG.SYNC.<profilePrefix> ID(<serverUserId>) ACCESS(READ) CLASS(FACILITY)
PERMIT BBG.SYNC.<runAsUserId> ID(<serverUserId>) ACCESS(READ) CLASS(SURROGAT)
Nota: <profilePrefix> toma de forma predeterminada el valor "BBGZDFLT" y
se puede configurar mediante <safCredentials profilePrefix="xx"> en
el archivo de configuración.
Para obtener más información sobre syncToOSThread, consulte la información sobre la identidad de hebra Java y la identidad de hebra de sistema operativo en la documentación de WebSphere Application Server for z/OS.