Pour activer syncToOSThread sous Liberty, vous utilisez
les fonctions appSecurity-1.0 et zosSecurity-1.0 associées à une configuration supplémentaire.
Avant de commencer
L'activation de la prise en charge de
syncToOSThread requiert les fonctions
appSecurity-1.0 et
zosSecurity-1.0. Vous devez aussi définir l'élément de configuration syncToOSThread. De plus, vous devez utiliser le registre de la fonction d'autorisation système pour l'authentification, et les services de la fonction d'autorisation système autorisés doivent être disponibles.
Etant donné que la prise en charge de syncToOSThread requiert les services de la fonction d'autorisation système, le processus ange doit être configuré et exécuté et le serveur doit s'y connecter. Pour plus d'informations sur le processus ange, voir Types de processus sur z/OS.
Procédure
- Configurez l'application devant utiliser syncToOSThread en ajoutant l'élément env-entry suivant au descripteur de déploiement de l'application :
<env-entry>
<env-entry-name>com.ibm.websphere.security.SyncToOSThread</env-entry-name>
<env-entry-type>java.lang.Boolean</env-entry-type>
<env-entry-value>true</env-entry-value>
</env-entry>
- Configurez le serveur sur lequel
syncToOSThread doit être activé pour les
applications en ajoutant les fonctions
appSecurity-1.0 et
zosSecurity-1.0 et en définissant l'élément de
configuration syncToOSThread avec l'attribut
appEnabled="true". De plus, vérifiez que le registre de la fonction d'autorisation système est utilisé pour l'authentification :
<featureManager>
<feature>appSecurity-1.0</feature>
<feature>zosSecurity-1.0</feature>
</featureManager>
<safRegistry id="saf" />
<syncToOSThread appEnabled="true" />
- Accordez au serveur les droits permettant d'exécuter des opérations syncToOSThread en configurant votre produit de fonction d'autorisation système avec l'un des profils suivants :
- Accordez à l'ID utilisateur du serveur l'accès CONTROL au profil BBG.SYNC.<préfixeProfil> dans la classe FACILITY. Ainsi, le serveur pourra synchroniser toute identité RunAs avec l'identité du système d'exploitation :
PERMIT BBG.SYNC.<profilePrefix> ID(<serverUserId>) ACCESS(CONTROL) CLASS(FACILITY)
- Grant the userid of the server READ access to the BBG.SYNC.<profilePrefix> profile in
the FACILITY class. Additionally, grant the userid of the server
READ access to one or more BBG.SYNC.<runAsUserId> profiles in the SURROGATE class, one for each RunAs identity
to be synchronized with the OS identity:
PERMIT BBG.SYNC.<profilePrefix> ID(<serverUserId>) ACCESS(READ) CLASS(FACILITY)
PERMIT BBG.SYNC.<runAsUserId> ID(<serverUserId>) ACCESS(READ) CLASS(SURROGAT)
Remarque : The <profilePrefix> is by default "BBGZDFLT" and can be configured by using the <safCredentials
profilePrefix="xx"> element in your configuration file.
For more information about syncToOSThread, see Java™ thread
identity and an operating system thread identity