For z/OS platforms

Sécurisation des adaptateurs locaux optimisés pour la prise en charge des appels entrants sur Liberty for z/OS

Sécurisez vos connexions WebSphere Optimized Local Adapters (WOLA) qui procèdent à des appels entrants vers le serveur Liberty.

Avant de commencer

Exécutez les serveurs Liberty sous z/OS avec la sécurité serveur. Pour plus d'informations, voir Sécurité.

L'accès local à Liberty pour les serveurs z/OS est protégé par la classe CBIND de la fonction d'autorisation système (SAF). Lorsqu'elle est activée, cette classe est utilisée pour protéger les serveurs Liberty lorsque des demandes d'adaptateur local optimisé sont effectuées. Avant d'exécuter une application qui utilise l'API Register, accordez l'accès READ à l'ID utilisateur du travail, au processus des services système UNIX ou à la région CICS (Customer Information Control System) à la classe CBIND pour le serveur cible.

Toutes les demandes entrantes parvenant à Liberty s'exécutent avec les droits d'accès de l'utilisateur courant de l'unité d'exécution. Cette identité est automatiquement propagée et vérifiée dans le conteneur d'EJB (Enterprise JavaBeans), et l'application démarre sous cette identité. Les demandes entrantes acheminées dans un bean enterprise cible arrivent de la même manière que les appels de méthode pour les demandes EJB locales et les options de sécurité RunAs fonctionnent de la même façon que les requêtes EJB locales.

Lorsqu'un travail de transaction entrant ou sortant est transmis entre CICS et Liberty for z/OS, vous devez prendre en compte certaines remarques de sécurité spéciales. Par exemple, vous devez déterminer si l'authentification pour le travail entrant sur le serveur Liberty s'exécute avec les droits d'accès de l'application CICS spécifique ou les droits d'accès de la région CICS entière. Les mêmes questions se posent lorsque le serveur Liberty envoie un travail sortant vers une application CICS ; vous devez déterminer si CICS applique les droits d'accès de l'application d'origine ou son propre profil de sécurité CICS.
Avertissement : vous devez vous assurer que les applications client sont authentifiées pour CICS en vue du traitement de la demande.

Pour transmettre des demandes au serveur Liberty depuis CICS, vous pouvez indiquer l'identité de l'application CICS courante en définissant l'indicateur approprié avec l'appel de l'API Register.

Procédure


Icône indiquant le type de rubrique Rubrique Tâche

Nom du fichier : twlp_dat_security_in.html