Berechtigte z/OS-Services in Liberty für z/OS aktivieren
Mit Liberty unter z/OS können Ihre Anwendungen die in z/OS berechtigten Services für SAF-Autorisierung (System Authorization Faciltiy), WLM (Workload Manager), RRS (Resource Recovery Services) und SVCDUMP nutzen. Erfordert Ihre Anwendung diese Services, müssen Sie einen Liberty-Angel-Prozess konfigurieren und Ihrem Liberty-Server Zugriff für die Verwendung dieser Services gewähren.
Informationen zu diesem Vorgang
Zur Verwendung der berechtigten z/OS-Services können Sie die folgenden Profiltypen mit einem
SAF-Sicherheitsprodukt wie RACF konfigurieren:
- Das Profil SAF STARTED ist erforderlich, wenn Sie den Liberty-Server oder den Liberty-Angelprozess als gestartete z/OS-Task ausführen möchten. Weitere Informationen zum Liberty-Angel-Prozess finden Sie unter Prozesstypen unter z/OS.
- Das Profil SAF SERVER ist erforderlich, wenn der Liberty-Server auf einen beliebigen berechtigten z/OS-Service für Ihre Anwendungen zugreifen können soll. Nachfolgend wird jeder Service beschrieben.
Anmerkung: Sie müssen RACF nicht konfigurieren,
wenn Sie nicht vorhaben, den Liberty-Server als gestartete Task auszuführen und berechtigte Services zu verwenden.
Vorgehensweise
- Erstellen Sie STARTED-Profile für die PROC-Aufrufe für Angel- und Liberty-Serverprozesse. Mit dieser Aktion werden Angel- und Liberty-Server für die Ausführung als gestartete Tasks aktiviert.
- Geben Sie Folgendes an, damit der Angel-Prozess unter der Benutzer-ID
WLPUSER0 ausgeführt wird:
rdef started bbgzangl.* uacc(none) stdata(user(WLPUSER0) group(wasuser) privileged(no) trusted(no) trace(yes))
- Geben Sie Folgendes an, damit ein Server, der unter dem Prozedurnamen BBGZSRV läuft, unter der Benutzer-ID WLPUSER1 ausgeführt wird:
rdef started bbgzsrv.* uacc(none) stdata(user(WLPUSER1) group(wasuser) privileged(no) trusted(no) trace(yes))
- Geben Sie Folgendes an, damit der Angel-Prozess unter der Benutzer-ID
WLPUSER0 ausgeführt wird:
- Erstellen Sie ein SERVER-Profil für den Angel-Prozess und ermöglichen Sie den Zugriff durch die Benutzer-ID WLPUSER1.
Mit dieser Aktion kann ein Liberty-Server auf den Angel-Prozess zugreifen, der für die berechtigten z/OS-Services erforderlich ist. Setzen Sie die folgenden Befehle ab, um ein nicht benanntes Angel-Serverprofil zu erstellen und einen Server zu aktivieren, der als WLPUSER1 ausgeführt wird, um eine Verbindung zu diesem herzustellen:
RDEF SERVER BBG.ANGEL UACC(NONE) PERMIT BBG.ANGEL CLASS(SERVER) ACCESS(READ) ID(wlpuser1)
Setzen Sie die folgenden Befehle ab, um ein benanntes Angel-Serverprofil zu erstellen und einen Server zu aktivieren, der als WLPUSER1 ausgeführt wird, um eine Verbindung zu diesem herzustellen:
Der Profilname, den Sie für die Variable Name_des_benannten_Angel angeben, ist der Name des neuen Angel-Prozesses.RDEF SERVER BBG.ANGEL.Name_des_benannten_Angel UACC(NONE) PERMIT BBG.ANGEL.Name_des_benannten_Angel CLASS(SERVER) ACCESS(READ) ID(WLPUSER1)
Tipp: Sie können generische Profile wie BBG.ANGEL.* verwenden, um einer Benutzer-ID Zugriff auf mehrere Angel-Prozesse zu erteilen.
- Erstellen Sie ein SERVER-Profil für das berechtigte Modul BBGZSAFM und berechtigen Sie die Benutzer-ID für die gestartete Task des Liberty-Servers für den Zugriff auf das Profil.
Mit dieser Aktion kann ein Liberty-Server die berechtigten z/OS-Services verwenden. Gehen Sie wie folgt vor, damit ein unter
der Benutzer-ID WLPUSER1 ausgeführter Server auf das berechtigte Modul zugreifen kann:
RDEF SERVER BBG.AUTHMOD.BBGZSAFM UACC(NONE) PERMIT BBG.AUTHMOD.BBGZSAFM CLASS(SERVER) ACCESS(READ) ID(wlpuser1)
- Erstellen Sie SERVER-Profile für die einzelnen berechtigten Services, die für die
z/OS-Plattform bereitgestellt werden.
Diese Profile ermöglichen dem Server, die einzelnen berechtigten Services aufzurufen. Diese Services sind nach Funktion gruppiert:
- Gehen Sie wie folgt vor, um die berechtigten SAF-Benutzerregistry-Services und die SAF-Berechtigungsservices (SAFCRED) zu aktivieren:
RDEF SERVER BBG.AUTHMOD.BBGZSAFM.SAFCRED UACC(NONE) PERMIT BBG.AUTHMOD.BBGZSAFM.SAFCRED CLASS(SERVER) ACCESS(READ) ID(wlpuser1)
- Gehen Sie wie folgt vor, um die WLM-Services (ZOSWLM) zu aktivieren:
RDEF SERVER BBG.AUTHMOD.BBGZSAFM.ZOSWLM UACC(NONE) PERMIT BBG.AUTHMOD.BBGZSAFM.ZOSWLM CLASS(SERVER) ACCESS(READ) ID(wlpuser1)
- Gehen Sie wie folgt vor, um die RRS-Transaktionsservices (TXRRS) zu aktivieren:
RDEF SERVER BBG.AUTHMOD.BBGZSAFM.TXRRS UACC(NONE) PERMIT BBG.AUTHMOD.BBGZSAFM.TXRRS CLASS(SERVER) ACCESS(READ) ID(wlpuser1)
- Gehen Sie wie folgt vor, um die SVCDUMP-Services (ZOSDUMP) zu aktivieren:
RDEF SERVER BBG.AUTHMOD.BBGZSAFM.ZOSDUMP UACC(NONE) PERMIT BBG.AUTHMOD.BBGZSAFM.ZOSDUMP CLASS(SERVER) ACCESS(READ) ID(wlpuser1)
- Gehen Sie wie folgt vor, um die OLA-Services (Optimized Local Adapters, optimierte lokale Adapter)
zu aktivieren:
RDEF SERVER BBG.AUTHMOD.BBGZSAFM.LOCALCOM UACC(NONE) PERMIT BBG.AUTHMOD.BBGZSAFM.LOCALCOM CLASS(SERVER) ACCESS(READ) ID(wlpuser1) RDEF SERVER BBG.AUTHMOD.BBGZSAFM.WOLA UACC(NONE) PERMIT BBG.AUTHMOD.BBGZSAFM.WOLA CLASS(SERVER)ACCESS(READ) ID(wlpuser1)
- Gehen Sie wie folgt vor, um die IFAUSAGE-Services (PRODMGR) zu aktivieren:
RDEF SERVER BBG.AUTHMOD.BBGZSAFM.PRODMGR UACC(NONE) PERMIT BBG.AUTHMOD.BBGZSAFM.PRODMGR CLASS(SERVER) ACCESS(READ) ID(wlpuser1)
- Verwenden Sie zum Aktivieren der AsyncIO-Services
(ZOSAIO) den folgenden Code:
RDEF SERVER BBG.AUTHMOD.BBGZSAFM.ZOSAIO UACC(NONE) PERMIT BBG.AUTHMOD.BBGZSAFM.ZOSAIO CLASS(SERVER) ACCESS(READ) ID(wlpuser1)
- Gehen Sie wie folgt vor, um die berechtigten SAF-Benutzerregistry-Services und die SAF-Berechtigungsservices (SAFCRED) zu aktivieren:
- Erstellen Sie ein SERVER-Profil für das berechtigte Clientmodul BBGZSCFM und berechtigen Sie die Benutzer-ID für die gestartete Task
des Liberty-Servers für den Zugriff auf das Profil. Mit dieser Aktion kann ein Liberty-Server die berechtigten z/OS-Client-Services laden. Gehen Sie wie folgt vor, damit ein unter
der Benutzer-ID WLPUSER1 ausgeführter Server auf das berechtigte Clientmodul zugreifen kann:
RDEF SERVER BBG.AUTHMOD.BBGZSCFM UACC(NONE) PERMIT BBG.AUTHMOD.BBGZSCFM CLASS(SERVER) ACCESS(READ) ID(wlpuser1)
- Erstellen Sie SERVER-Profile für die einzelnen berechtigten Client-Services, die für die z/OS-Plattform bereitgestellt werden.
Mit diesen Profilen können Clients die einzelnen vom Server bereitgestellten berechtigten Services
aufrufen. Diese Services sind nach Funktion gruppiert:
- Gehen Sie wie folgt vor, um die OLA-Services (Optimized Local Adapters, optimierte lokale Adapter)
zu aktivieren:
RDEF SERVER BBG.AUTHMOD.BBGZSCFM.WOLA UACC(NONE) PERMIT BBG.AUTHMOD.BBGZSCFM.WOLA CLASS(SERVER) ACCESS(READ) ID(wlpuser1)
- Gehen Sie wie folgt vor, um die OLA-Services (Optimized Local Adapters, optimierte lokale Adapter)
zu aktivieren:
Untergeordnete Themen
- Mit WZSSAD auf z/OS-Sicherheitsressourcen zugreifen
WZSSAD (WLP z/OS System Security Access Domain) (WZSSAD) bezeichnet die Berechtigungen, die dem Liberty-Server erteilt werden. Diese Berechtigungen steuern, welche SAF-Anwendungsdomänen (System Authorization Facility) und -Ressourcenprofile der Server für die Authentifizierung und Berechtigung von Benutzern abfragen darf. - Asynchrone TCP/IP-Socket-Ein-/Ausgabe für Liberty unter z/OS aktivieren
Sie können asynchrone TCP/IP-Socket-Ein-/Ausgabe für den Liberty-Service "AsyncIO on z/OS" verwenden, um Basisfunktionen eines asynchronen Ein-/Ausgabepakets auf Betriebssystemebene bereitzustellen. Der Service "AsyncIO on z/OS" verwendet native Services, um die Leistung und Skalierbeitkeit in vielen Umgebungen zu verbessern. - Nicht berechtigte Services, die von der SAF-Registry verwendet werden
Die SAF-Registry (System Authorization Facility) verwendet eine Reihe von nicht berechtigten Services aus der von LE (Language Environment) bereitgestellten C-Umgebung. - Nicht authentifizierten System Authorization Facility (SAF)-Benutzer konfigurieren
Wenn Sie eine SAF-Benutzerregistry verwenden, muss eine SAF-Benutzer-ID angegeben werden, die den nicht authentifizierten Zustand darstellt. Der Name der nicht authentifizierten Benutzer-ID wird mit dem Attribut unauthenticatedUser des Elements SAFCredentials in der Dateiserver.xml angegeben. Es ist wichtig, diese Benutzer-ID ordnungsgemäß in Ihrer SAF-Registry zu definieren. Wenn Sie eine RACF-SAF-Benutzerregistry verwenden, benötigt der nicht authentifizierte Benutzer (standardmäßig WSGUEST) eine eindeutige Standardgruppe (DFLTGRP) ohne weitere verbundene Benutzer-IDs, ein OMVS-Segment, aber kein TSO-Segment und die Optionen NOPASSWORD, NOOIDCARD und RESTRICTED. wenn Sie eine andere SAF-Benutzerregistry anstelle einer RACF-Registry haben, müssen Sie die Benutzer-ID-Optionen, die von dieser SAF-Registry bereitgestellt werden und diesen RACF-Optionen entsprechen, ermitteln. Erforderliche SAF-Berechtigung, wenn Komponenten das REST-Handler-Framework verwenden
z/OS-Benutzer, die System Authorization Facility (SAF) mit Liberty-Komponenten verwenden, die im REST-Handler-Framework erstellt wurden, müssen die Berechtigung allAuthenticatedUsers erhalten.
Übergeordnetes Thema: Zugriff auf Ressourcen in Liberty gewähren
Zugehörige Konzepte:

Dateiname: twlp_config_security_zos.html