
在 Liberty for z/OS 上启用 z/OS 授权服务
z/OS® 上的 Liberty 可让您的应用程序利用 z/OS 授权服务来执行系统授权工具 (SAF) 授权、工作负载管理器 (WLM)、资源恢复服务 (RRS) 和 SVCDUMP。如果您的应用程序需要这些服务,请设置 Liberty Angel 进程,并为 Liberty 服务器授予使用这些服务的访问权。
关于此任务
要使用 z/OS 授权服务,您可以使用 SAF 安全性产品(例如,RACF®)来设置下列类型的概要文件:
- 如果计划将 Liberty 服务器或者 Liberty Angel 进程作为 z/OS 启动任务来运行,那么需要 SAF STARTED 概要文件。有关 Liberty Angel 进程的更多信息,请参阅z/OS 上的进程类型。
- 如果计划让 Liberty 服务器访问应用程序的任何 z/OS 授权服务,那么需要 SAF SERVER 概要文件。可以在以下内容中找到每个服务的描述。
注: 如果您不打算将 Liberty 服务器作为启动式任务来运行,也不打算使用任何授权服务,那么不需要设置 RACF。
过程
- 为 Angel 进程和 Liberty 服务器进程的 PROC 创建 STARTED 概要文件。此操作允许 Angel 进程和 Liberty 服务器能作为启动任务运行。
- 使 Angel 进程以用户标识 WLPUSER0 运行:
rdef started bbgzangl.* uacc(none) stdata(user(WLPUSER0) group(wasuser) privileged(no) trusted(no) trace(yes))
- 使 BBGZSRV 过程名称下运行的服务器以用户标识 WLPUSER1 运行:
rdef started bbgzsrv.* uacc(none) stdata(user(WLPUSER1) group(wasuser) privileged(no) trusted(no) trace(yes))
- 使 Angel 进程以用户标识 WLPUSER0 运行:
- 为 Angel 进程创建 SERVER 概要文件,并允许使用 WLPUSER1 用户标识。
此操作授予 Liberty 服务器访问 Angel 进程的权限,而 z/OS 授权服务需要此权限。要创建未命名的 Angel 服务器概要文件,并允许正在以 WLPUSER1 身份运行的服务器连接至该概要文件,请发出下列命令:
RDEF SERVER BBG.ANGEL UACC(NONE) PERMIT BBG.ANGEL CLASS(SERVER) ACCESS(READ) ID(wlpuser1)
要创建所指定的 Angel 服务器概要文件,并允许正在以 WLPUSER1 身份运行的服务器连接至该概要文件,请发出下列命令:
为 namedAngelName 变量指定的概要文件名称是新 Angel 进程的名称。RDEF SERVER BBG.ANGEL.namedAngelName UACC(NONE) PERMIT BBG.ANGEL.namedAngelName CLASS(SERVER) ACCESS(READ) ID(WLPUSER1)
提示: 可以使用通用概要文件(例如,BBG.ANGEL.*)为用户标识授予对于多个 Angel 进程的访问权。
- 为授权模块 BBGZSAFM 创建 SERVER 概要文件,并允许该概要文件使用 Liberty 服务器的启动任务用户标识。此操作使 Liberty 服务器能够使用 z/OS 授权服务。要允许以 WLPUSER1 身份运行服务器以访问授权模块,请输入以下命令:
RDEF SERVER BBG.AUTHMOD.BBGZSAFM UACC(NONE) PERMIT BBG.AUTHMOD.BBGZSAFM CLASS(SERVER) ACCESS(READ) ID(wlpuser1)
- 针对为 z/OS 平台提供的个别授权服务创建 SERVER 概要文件。这些概要文件使服务器能够调用各项授权服务,而这些服务是按功能进行分组。
- 要启用 SAF 授权用户注册表服务和 SAF 授权服务 (SAFCRED),请输入以下命令:
RDEF SERVER BBG.AUTHMOD.BBGZSAFM.SAFCRED UACC(NONE) PERMIT BBG.AUTHMOD.BBGZSAFM.SAFCRED CLASS(SERVER) ACCESS(READ) ID(wlpuser1)
- 要启用 WLM 服务 (ZOSWLM),请输入以下命令:
RDEF SERVER BBG.AUTHMOD.BBGZSAFM.ZOSWLM UACC(NONE) PERMIT BBG.AUTHMOD.BBGZSAFM.ZOSWLM CLASS(SERVER) ACCESS(READ) ID(wlpuser1)
- 要启用 RRS 事务服务 (TXRRS),请输入以下命令:
RDEF SERVER BBG.AUTHMOD.BBGZSAFM.TXRRS UACC(NONE) PERMIT BBG.AUTHMOD.BBGZSAFM.TXRRS CLASS(SERVER) ACCESS(READ) ID(wlpuser1)
- 要启用 SVCDUMP 服务 (ZOSDUMP),请输入以下命令:
RDEF SERVER BBG.AUTHMOD.BBGZSAFM.ZOSDUMP UACC(NONE) PERMIT BBG.AUTHMOD.BBGZSAFM.ZOSDUMP CLASS(SERVER) ACCESS(READ) ID(wlpuser1)
- 要启用优化本地适配器服务,请输入下列命令:
RDEF SERVER BBG.AUTHMOD.BBGZSAFM.LOCALCOM UACC(NONE) PERMIT BBG.AUTHMOD.BBGZSAFM.LOCALCOM CLASS(SERVER) ACCESS(READ) ID(wlpuser1) RDEF SERVER BBG.AUTHMOD.BBGZSAFM.WOLA UACC(NONE) PERMIT BBG.AUTHMOD.BBGZSAFM.WOLA CLASS(SERVER)ACCESS(READ) ID(wlpuser1)
- 要启用 IFAUSAGE 服务 (PRODMGR),请输入以下命令:
RDEF SERVER BBG.AUTHMOD.BBGZSAFM.PRODMGR UACC(NONE) PERMIT BBG.AUTHMOD.BBGZSAFM.PRODMGR CLASS(SERVER) ACCESS(READ) ID(wlpuser1)
- 要启用 AsyncIO 服务 (ZOSAIO),请输入以下命令:
RDEF SERVER BBG.AUTHMOD.BBGZSAFM.ZOSAIO UACC(NONE) PERMIT BBG.AUTHMOD.BBGZSAFM.ZOSAIO CLASS(SERVER) ACCESS(READ) ID(wlpuser1)
- 要启用 SAF 授权用户注册表服务和 SAF 授权服务 (SAFCRED),请输入以下命令:
- 为授权客户机模块 BBGZSCFM 创建 SERVER 概要文件,并允许该概要文件使用 Liberty 服务器的启动任务用户标识。此操作使 Liberty 服务器能够装入 z/OS 授权客户机服务。 要允许以 WLPUSER1 身份运行的服务器访问授权客户机模块,请输入以下命令:
RDEF SERVER BBG.AUTHMOD.BBGZSCFM UACC(NONE) PERMIT BBG.AUTHMOD.BBGZSCFM CLASS(SERVER) ACCESS(READ) ID(wlpuser1)
- 针对为 z/OS 平台提供的个别授权客户机服务创建 SERVER 概要文件。这些概要文件使客户机能够调用服务器所提供的各项授权服务。 这些服务按功能分组:
- 要启用优化本地适配器服务,请输入下列命令:
RDEF SERVER BBG.AUTHMOD.BBGZSCFM.WOLA UACC(NONE) PERMIT BBG.AUTHMOD.BBGZSCFM.WOLA CLASS(SERVER) ACCESS(READ) ID(wlpuser1)
- 要启用优化本地适配器服务,请输入下列命令:
子主题
使用 WZSSAD 访问 z/OS 安全资源
WLP z/OS 系统安全性访问域 (WZSSAD) 引用向 Liberty 服务器授予的许可权。这些许可权控制认证和授权用户时服务器有权查询的系统授权工具 (SAF) 应用程序域和资源概要文件。启用 z/OS 上适用于 Liberty 的异步 TCP/IP 套接字 I/O
您可以使用“z/OS 上适用于 Liberty 的异步 TCP/IP 套接字 I/O (AsyncIO)”服务,以在操作系统级别提供异步 I/O 软件包的基本功能。 “z/OS 上的 AsyncIO”服务使用本机服务在许多环境中提供性能及可伸缩性的改进。SAF 注册表使用的未授权服务
系统授权工具 (SAF) 注册表使用 LE (Language Environment®) 随附的 C 环境中的一些未经授权服务。设置系统授权工具 (SAF) 未认证用户
如果您使用的是 SAF 用户注册表,那么需要指定一个表示未认证状态的 SAF 用户标识。在 server.xml 中的 SAFCredentials 元素的 unauthenticatedUser 属性中指定未认证用户标识的名称。在 SAF 注册表中正确定义此用户标识至关重要。如果您使用的是 RACF SAF 用户注册表,那么未认证的用户(缺省值为 WSGUEST)需要唯一的缺省组 (DFLTGRP)(没有其他用户标识连接到该组),一个 OMVS 段(而不是 TSO 段)以及 NOPASSWORD、NOOIDCARD 和 RESTRICTED 选项。如果您有另一个 SAF 用户注册表(而不是 RACF SAF 用户注册表),那么查找由该 SAF 注册表提供的等价于这些 RACF 选项的用户标识选项。组件使用 REST 处理程序框架时所需的 SAF 许可权
必须针对带有基于 REST 处理程序框架构建的 Liberty 组件的系统授权工具 (SAF) 的 z/OS 用户授予 allAuthenticatedUsers 许可权。
父主题: 授予对 Liberty 中资源的访问权
相关概念:

文件名:twlp_config_security_zos.html