SAF-Registry unter z/OS aktivieren und konfigurieren

Die SAF-Registry (System Authorization Facility) enthält Informationen, die zum Ausführen von sicherheitsrelevanten Funktionen, wie der Authentifizierung von Benutzern und dem Abrufen von Informationen von Benutzern, Gruppen oder den Benutzern zugeordneten Gruppen, erforderlich sind. Die SAF-Registry wird in der Konfigurationsdatei server.xml aktiviert und konfiguriert. Außerdem können Sie Ihren Liberty-Server konfigurieren, um die SAF-Berechtigung zu verwenden.

Informationen zu diesem Vorgang

Durch Hinzufügen der entsprechenden Features der Datei server.xml können Sie die folgenden Tasks ausführen:
  • Aktivieren Sie die SAF-Benutzerregistry.
  • Konfigurieren Sie die SAF-Benutzerregistry für Verwendung berechtigter Services.
  • Aktivieren Sie Anwendungen für Verwendung der SAF-Benutzerregistry.
  • Konfigurieren Sie die SAF-Benutzerregistry.
Standardmäßig verwendet eine SAF-Registry UNIX System Services (USS), um die Authentifizierung durchzuführen. Um die Leistung zu verbessern, können Sie die berechtigten SAF-Services durch Konfiguration der SAFCRED-Ressourcen aktivieren. Weitere Informationen finden Sie im Artikel Berechtigte z/OS-Services in Liberty für z/OS aktivieren.

Im Artikel Berechtigung für Anwendungen in Liberty konfigurieren wird beschrieben, wie Sie Ihren Liberty-Server konfigurieren können, die SAF-Berechtigung zu verwenden.

Anmerkung:

Wenn Sie LDAP- und Basis- oder SAF-Registrys verwenden, werden die Benutzerregistrys automatisch eingebunden. In Liberty wird nur ein Realm unterstützt. Wenn Sie kein eingebundenes Repository mit einem angegebenen primären Realm angeben, wird einer der Realmnamen aus einem der definierten Benutzerregistrys verwendet.

Wenn Sie mehrere Registrys verwenden und Aktionen basierend auf dem Realmnamen des Benutzers ausführen, definieren Sie das federatedRepository mit einem definierten primaryRealm-Attribut.

Vorgehensweise

  1. Aktivieren Sie die SAF-Benutzerregistry. Nehmen Sie das Feature zosSecurity-1.0 in die Datei server.xml auf:
    <feature>zosSecurity-1.0</feature>
    Anmerkung: Standardmäßig verwendet die SAF-Benutzerregistry nicht berechtigte USS-Services (UNIX System Services) wie "__passwd", um die Authentifizierung durchzuführen.
  2. Konfigurieren Sie zur Leistungsverbesserung die SAF-Benutzerregistry so, dass die Authentifizierung mit berechtigten Services wie "initACEE" durchgeführt wird. Dazu müssen Sie die SAFCRED-Ressourcen konfigurieren. Weitere Informationen finden Sie im Artikel Berechtigte z/OS-Services in Liberty für z/OS aktivieren.
  3. Aktivieren Sie die Anwendungssicherheit, indem Sie das Feature appSecurity-2.0 zusammen mit dem Feature servlet-3.0 für Webanwendungen oder dem Feature ejbLite-3.1 für EJB-Anwendungen hinzufügen.
    <feature>zosSecurity-1.0</feature>
    <feature>appSecurity-2.0</feature>
    <feature>servlet-3.0</feature>
    <feature>ejbLite-3.1</feature>
  4. Konfigurieren Sie die SAF-Registry durch Hinzufügen eines safRegistry-Elements in der Datei server.xml:
    <safRegistry id="saf" realm="myrealm" />
    Das Element safRegistry verfügt über folgende Attribute:
    ID
    Die ID, die diese Registry-Instanz eindeutig kennzeichnet. Die ID kann beliebig festgelegt werden, muss aber in Bezug auf die übrigen konfigurierten Registrys, z. B. Basisregistry und LDAP-Registry, eindeutig sein. Sie können die ID verwenden, um einen Bezug zu dieser Registry-Instanz in anderen Elementen der Datei server.xml herzustellen.
    realm
    Der Realm, der der SAF-Registry zugeordnet ist. Wenn Sie keinen Realm angeben, wird standardmäßig der Plex-Name (ECVTSPLX) verwendet. Wenn der Server zur Verwendung der SAFCRED-Ressourcen berechtigt ist, wird der Standardrealm aus dem SAF-Produkt gelesen, indem das Feld APPLDATA im Profil SAFDFLT unter der Klasse REALM extrahiert wird. Wenn das Feld leer ist, wird der Standardrealm verwendet.

Symbol das den Typ des Artikels anzeigt. Taskartikel

Dateiname: twlp_config_zos_saf.html