Liberty で J2C 接続に対して syncToOSThread を使用可能にするには、追加構成とともに appSecurity-1.0 フィーチャーおよび zosSecurity-1.0 フィーチャーを使用します。
始める前に
J2C 接続に対して syncToOSThread サポートを
使用可能にするには、appSecurity-1.0 フィーチャーおよび zosSecurity-1.0 フィーチャーが必要です。
syncToOSThread 構成エレメントも定義する必要があります。
さらに、認証に SAF レジストリーを使用する必要があり、許可 SAF サービスが使用可能でなければなりません。
syncToOSThread サポートには許可 SAF サービスが必要なため、エンジェル・プロセスが稼働中で、サーバーがそれに接続されている必要があります。
エンジェル・プロセスについて詳しくは、
『z/OS でのプロセス・タイプ』を参照してください。
手順
- appSecurity-1.0 フィーチャーおよび zosSecurity-1.0 フィーチャー
を追加し、syncToOSThread 構成エレメントを
属性 j2cEnabled="true" を指定して定義することによって、J2C 接続に対して syncToOSThread を
使用可能にするようサーバーを構成します。さらに、認証に SAF レジストリーが必ず使用されるようにしてください。
<featureManager>
<feature>appSecurity-1.0</feature>
<feature>zosSecurity-1.0</feature>
</featureManager>
<safRegistry id="saf" />
<syncToOSThread j2cEnabled="true" />
注: - res-auth=container を指定するリソースを使用する接続の場合、j2cEnabled=true を設定すると、タイプ 2 の J2C 接続で syncToOSThread が使用可能になります。 syncToOSThread の使用可能化により、接続の確立中に Java™ の RunAs ID が OS ID と同期化されます。それにより、接続は OS ID に関連付けられ、OS ID と同じ許可と特権が接続に割り当てられます。
- syncToOSThread を使用する場合は、データ・ソースに JAAS 別名を指定しないでください。
JAAS 別名を定義すると、それが OS ID をオーバーライドします。
- ご使用の SAF 製品を次のいずれかのプロファイルで構成することで、
syncToOSThread の操作を実行する許可をサーバーに付与します。
- サーバーのユーザー ID に、FACILITY クラスでの BBG.SYNC.<profilePrefix> プロファイルへの制御アクセス権限を付与します。
これにより、サーバーが、RunAs ID を OS ID と同期させることができます。
PERMIT BBG.SYNC.<profilePrefix> ID(<serverUserId>) ACCESS(CONTROL) CLASS(FACILITY)
- サーバーのユーザー ID に、FACILITY クラスでの BBG.SYNC.<profilePrefix> プロファイルへの読み取りアクセス権限を付与します。さらに、サーバーのユーザー ID に、OS ID と同期させる RunAs ID ごとに 1 つずつ、
SURROGATE クラスでの 1 つ以上の BBG.SYNC.<runAsUserId> プロファイルへの読み取りアクセス権限を付与します。
PERMIT BBG.SYNC.<profilePrefix> ID(<serverUserId>) ACCESS(READ) CLASS(FACILITY)
PERMIT BBG.SYNC.<runAsUserId> ID(<serverUserId>) ACCESS(READ) CLASS(SURROGAT)
注: <profilePrefix> は、デフォルトでは「BBGZDFLT」であり、構成ファイル内で <safCredentials profilePrefix="xx"> を使用することによって構成できます。
syncToOSThread について詳しくは、WebSphere Application Server for z/OS 資料で、Java スレッド ID とオペレーティング・システム・スレッド ID についての説明を参照してください。