要在 Liberty 上启用 syncToOSThread,可以将 appSecurity-1.0 和 zosSecurity-1.0 功能部件与其他配置一起使用。
开始之前
启用 syncToOSThread 支持时,需要 appSecurity-1.0 和 zosSecurity-1.0 功能部件。您还必须定义 syncToOSThread 配置元素。此外,您也必须使用 SAF 注册表进行认证,而且授权 SAF 服务必须可用。
因为 syncToOSThread 支持需要已授权的 SAF 服务,所以 Angel 进程必须启动且运行,而且服务器必须连接至该进程。有关 Angel 进程的更多信息,请参阅 z/OS 上的进程类型。
过程
- 通过将下列 env-entry 添加到应用程序的部署描述符,将应用程序配置为使用 syncToOSThread:
<env-entry> <env-entry-name>com.ibm.websphere.security.SyncToOSThread</env-entry-name>
<env-entry-type>java.lang.Boolean</env-entry-type>
<env-entry-value>true</env-entry-value>
</env-entry>
- 要将服务器配置为对应用程序启用 syncToOSThread,请添加 appSecurity-1.0 和 zosSecurity-1.0 功能部件,并使用属性 appEnabled="true" 来定义 syncToOSThread 配置元素。此外,确保必须将 SAF 注册表用于认证:
<featureManager>
<feature>appSecurity-1.0</feature>
<feature>zosSecurity-1.0</feature>
</featureManager>
<safRegistry id="saf" />
<syncToOSThread appEnabled="true" />
- 通过使用以下任一概要文件配置 SAF 产品,授予服务器执行 syncToOSThread 操作的许可权:
- 授予服务器的用户标识对 FACILITY 类中 BBG.SYNC.<profilePrefix 概要文件的 CONTROL 访问权。这可让服务器将任何 RunAs 身份与操作系统身份同步:
PERMIT BBG.SYNC.<profilePrefix> ID(<serverUserId>) ACCESS(CONTROL) CLASS(FACILITY)
- 授予服务器的用户标识对 FACILITY 类中 BBG.SYNC.<profilePrefix> 概要文件的 READ 访问权。此外,授予服务器的用户标识对 SURROGATE 类中一个或多个 BBG.SYNC.<runAsUserId> 概要文件(要与操作系统身份同步的每个 RunAs 身份的概要文件)的 READ 访问权:
PERMIT BBG.SYNC.<profilePrefix> ID(<serverUserId>) ACCESS(READ) CLASS(FACILITY)
PERMIT BBG.SYNC.<runAsUserId> ID(<serverUserId>) ACCESS(READ) CLASS(SURROGAT)
注: 缺省情况下,<profilePrefix> 为“BBGZDFLT”,并且可以通过在配置文件中使用 <safCredentials
profilePrefix="xx"> 元素来对其进行配置。
有关 syncToOSThread 的更多信息,请参阅 Java™ 线程身份和操作系统线程身份。