在 z/OS 上激活并配置 SAF 注册表

系统授权工具 (SAF) 注册表保存了执行安全性相关功能(例如认证用户以及检索有关用户、组或与用户相关联的组的信息)所需的信息。通过配置文件 server.xml 来激活并配置 SAF 注册表。此外,您还可以配置 Liberty 服务器以使用 SAF 授权。

关于此任务

通过将相应的功能部件添加到 server.xml 文件,可以完成下列任务:
  • 激活 SAF 用户注册表。
  • 配置 SAF 用户注册表以使用授权服务。
  • 使应用程序能使用 SAF 用户注册表。
  • 配置 SAF 用户注册表。
缺省情况下,SAF 注册表使用未经授权的 UNIX 系统服务 (USS) 来执行认证。要获取更好的性能,您可以通过配置 SAFCRED 资源来启用获授权的 SAF 服务。有关更多信息,请参阅在 Liberty for z/OS 上启用 z/OS 授权服务

有关如何配置 Liberty 服务器以使用 SAF 授权的信息,请参阅在 Liberty 中为应用程序配置授权

注:

当您使用 LDAP 注册表和基本注册表或 SAF 注册表时,会自动联合用户注册表。在 Liberty 中,仅支持一个域。如果您未指定标识了主要域的联合存储库,将使用某个已定义的用户注册表中的某个域名。

当您使用多个注册表,并且要根据用户的域名执行操作时,请定义指定了 primaryRealm 属性的 federatedRepository

过程

  1. 激活 SAF 用户注册表。zosSecurity-1.0 功能部件添加到 server.xml 文件:
    <feature>zosSecurity-1.0</feature>
    注: 缺省情况下,SAF 用户注册表使用未授权的“UNIX 系统服务”服务(例如 __passwd)来执行认证。
  2. 要获得更好的性能,请配置 SAF 用户注册表以使用获授权的服务(例如 initACEE)通过配置 SAFCRED 资源来执行认证。有关更多信息,请参阅在 Liberty for z/OS 上启用 z/OS 授权服务
  3. 要启用应用程序安全性,请添加功能部件 appSecurity-2.0,以及用于 Web 应用程序的 servlet-3.0 功能部件或者用于 EJB 应用程序的 ejbLite-3.1 功能部件。
    <feature>zosSecurity-1.0</feature>
    <feature>appSecurity-2.0</feature>
    <feature>servlet-3.0</feature>
    <feature>ejbLite-3.1</feature>
  4. 要配置 SAF 注册表,请在 server.xml 文件中添加 safRegistry 元素:
    <safRegistry id="saf" realm="myrealm" />
    safRegistry 元素具有下列属性:
    ID
    此标识唯一地标识此注册表实例。标识可以是任何所需内容,但对于其他已配置的注册表(例如基本注册表和 LDAP 注册表)必须唯一。可以在 server.xml 文件的其他元素中使用标识来引用此注册表实例。
    realm
    与 SAF 注册表相关联的域。如果未指定域,那么缺省值为分支名称 (ECVTSPLX)。如果已授予服务器使用 SAFCRED 资源的权限,那么通过抽取 REALM 类下 SAFDFLT 概要文件中的 APPLDATA 字段,从 SAF 产品读取缺省域。如果该字段为空,那么会使用缺省域。

用于指示主题类型的图标 任务主题

文件名:twlp_config_zos_saf.html