針對 Liberty for z/OS 上的出埠支援,維護最佳化本端配接器的安全
針對從 Liberty 伺服器進行出埠呼叫的 WebSphere® 最佳化本端配接器 (WOLA) 連線,維護其安全。
程序
- 選擇性的: 設定伺服器端安全。
- 在啟用伺服器安全的 z/OS® 上執行 Liberty 伺服器。 如需相關資訊,請參閱在 Liberty 中配置應用程式授權和在 Liberty for z/OS 上啟用 z/OS 授權服務。
- 如果您要從 Liberty 伺服器呼叫「客戶資訊控制系統 (CICS®)」,並且已在 CICS 鏈結伺服器上啟用安全,請選擇一個使用者 ID,以執行 CICS 目標程式。
依預設,呼叫主旨會取得執行 CICS 目標程式的 MVS 使用者 ID。呼叫主旨是一個執行應用程式元件,以發出最佳化本端配接器要求的主旨。在多數情況下,這個主旨是執行身分,並且配置在應用程式的部署描述子中。
有三種方法可以定義呼叫主旨的替代主旨:- 在 Connection Factory 配置的 authData 元素中指定使用者 ID 與密碼,並參照 connectionFactory 元素中的元素。在下列範例中,最佳化本端配接器的 Connection Factory 會參照
auth2 authData 元素,而這個元素指定了使用者 ID user2 和相關聯的密碼。
<connectionFactory jndiName="eis/ola" containerAuthDataRef="auth2"> <properties.ola RegisterName="OLASERVER"/> </connectionFactory> <authData id="auth2" user="user2" password="{xor}Lz4sLCgwLTtt"/>
如需配置 Connection Factory 的相關資訊,請參閱 配置 JCA Connection Factory。
- 系統管理者可以在最佳化本端配接器的 Connection Factory 上提供使用者 ID 與密碼。如需相關資訊,請參閱Liberty 上最佳化本端配接器的 Connection Factory 內容。
- 應用程式開發者可以在從最佳化本端配接器 Connection Factory 取得連線的 ConnectionSpec 物件上,提供使用者 ID 與密碼。
安全服務會嘗試使用所提供的使用者 ID 與密碼進行鑑別。如果鑑別成功,新主旨會取得執行 CICS 目標程式的 MVS 使用者 ID。
- 在 Connection Factory 配置的 authData 元素中指定使用者 ID 與密碼,並參照 connectionFactory 元素中的元素。在下列範例中,最佳化本端配接器的 Connection Factory 會參照
auth2 authData 元素,而這個元素指定了使用者 ID user2 和相關聯的密碼。
- 如果您使用 OTMA 從 Liberty 伺服器呼叫 IBM 資訊管理系統 (IMS),而且 Liberty 伺服器和應用程式都配置成使用 sync-to-OS-thread,Liberty 伺服器可以將現行使用者 ID 傳播至 IMS 區域。IMS 區域也必須在 IMSPBxxx PROCLIB 成員中使用選項 OTMASE=FULL 來執行。
- 設定用戶端安全。
- 如果您已在「系統授權機能 (SAF)」中啟用 CBIND,請授與存取權給將使用最佳化本端配接器的用戶端。
- 在 CBIND 類別中,為 Liberty 伺服器定義一個設定檔。設定檔名稱是 BBG.WOLA.<WOLA1>.<WOLA2>.<WOLA3>,其中 WOLA1、WOLA2 和 WOLA3 是最佳化配接器群組名稱的三個部分,這三個部分指定在 server.xml 檔的 <zosLocalAdapters> 元素中。您可以使用
SAF RDEFINE TSO 指令來定義設定檔。例如,下列指令會在 CBIND 類別中,為名稱是 LIB1.LIB2.LIB3 的 WOLA 群組建立設定檔:
rdef cbind bbg.wola.lib1.lib2.lib3 uacc(none)
- 允許對設定檔具備讀取權。例如,下列指令允許 username 使用者名稱對 bbg.wola.lib1.lib2.lib3 設定檔具備讀取權:
permit bbg.wola.lib1.lib2.lib3 class(cbind) access(read) id(username)
您可以使用星號,允許使用者具備多個設定檔的存取權。下列範例允許 username 使用者對 CBIND 類別中開頭是 bbg.wola 的所有設定檔,具備 READ 存取權:rdef cbind bbg.wola.* uacc(none) permit bbg.wola.* class(cbind) access(read) id(username)
如需 SAF 指令和語法的相關資訊,請參閱您 z/OS 版本的說明文件。
- 在 CBIND 類別中,為 Liberty 伺服器定義一個設定檔。設定檔名稱是 BBG.WOLA.<WOLA1>.<WOLA2>.<WOLA3>,其中 WOLA1、WOLA2 和 WOLA3 是最佳化配接器群組名稱的三個部分,這三個部分指定在 server.xml 檔的 <zosLocalAdapters> 元素中。您可以使用
SAF RDEFINE TSO 指令來定義設定檔。例如,下列指令會在 CBIND 類別中,為名稱是 LIB1.LIB2.LIB3 的 WOLA 群組建立設定檔:
- 如果您在執行 CICS 鏈結伺服器時,有啟用安全,請將 CICS 配置成啟用使用者身分主張。
- 請確定 CICS 區域正在執行且已啟用安全,並且已啟用 EXEC CICS START 檢查。
- 指定 SEC=YES 參數,以便在 CICS 啟動時啟用安全。
- 指定 XUSER=YES 參數,以便在啟動時啟用 EXEC CICS START 檢查。
如需 CICS 系統起始設定參數的相關資訊,請參閱您 CICS 版本的說明文件。
- 建立「系統授權機能 (SAF)」SURROGAT 類別定義,允許使用鏈結伺服器的使用者 ID 發出
EXEC CICS START TRAN('BBO#') USERID(<propagated_id>) 指令。下列範例顯示定義給 USER1 使用者 ID 的 SURROGAT 類別。此類別可讓使用者 ID OLASERVE 執行 EXEC CICS START TRANS(BBO#) USERID(USER1) 指令,並處理使用 USER1 身分執行的最佳化本端配接器 CICS 鏈結交易。
RDEFINE SURROGAT USER1.DFHSTART UACC(NONE) OWNER(USER1) PERMIT USER1.DFHSTART CLASS(SURROGAT) ID(USER1) PERMIT USER1.DFHSTART CLASS(SURROGAT) ID(OLASERVE) SETROPTS RACLIST(SURROGAT) REFRESH
如需定義 SURROGAT 類別的相關資訊,請參閱您 CICS 版本的說明文件。
- 請確定 CICS 區域正在執行且已啟用安全,並且已啟用 EXEC CICS START 檢查。
- 如果您已在「系統授權機能 (SAF)」中啟用 CBIND,請授與存取權給將使用最佳化本端配接器的用戶端。

檔名:twlp_dat_security_out.html