Habilitación de syncToOSThread para las conexiones J2C

Para habilitar syncToOSThread para las conexiones J2C en Liberty, utilice las características appSecurity-1.0 y zosSecurity-1.0 con la configuración adicional.

Antes de empezar

La habilitación del soporte syncToOSThread de conexiones J2C requiere las características appSecurity-1.0 y zosSecurity-1.0. También debe definir el elemento de configuración syncToOSThread. Asimismo, debe utilizar el registro SAF para la autenticación, y los servicios SAF autorizados deben estar disponible.

Como el soporte syncToOSThread requiere los servicios SAF autorizados, el proceso ángel debe estar activo y en ejecución, y el servidor debe estar conectado a él. Para obtener más información sobre el proceso ángel, consulte Tipos de proceso en z/OS.

Procedimiento

  1. Configure el servidor para habilitar syncToOSThread para las conexiones J2C. Para ello, añada las características appSecurity-1.0 y zosSecurity-1.0, y defina el elemento de configuración syncToOSThread con el atributo j2cEnabled="true". Asimismo, asegúrese de que se utilice el registro SAF para la autenticación:
    <featureManager>
    	<feature>appSecurity-1.0</feature>
    	<feature>zosSecurity-1.0</feature>
    </featureManager>
    
    <safRegistry id="saf" />
    <syncToOSThread j2cEnabled="true" />
    Nota:
    • Para las conexiones que utilizan un recurso que especifica res-auth=container, si se establece j2cEnabled=true se habilita syncToOSThread para conexiones J2C de tipo 2. La habilitación de syncToOSThread sincroniza la identidad RunAs de Java™ con la identidad de OS durante el establecimiento de la conexión. Por lo tanto la conexión se asocia con la identidad de OS y se le asignan los mismos permisos y privilegios que la identidad de OS.
    • No especifique un alias JAAS para el origen de datos si desea utilizar syncToOSThread. El alias JAAS, si se define, alterará temporalmente la identidad de sistema operativo.
  2. Otorgue al servidor permiso para realizar operaciones syncToOSThread configurando el producto SAF con alguno de los perfiles siguientes:
    • Otorgue al ID de usuario del servidor acceso CONTROL al perfil BBG.SYNC.<profilePrefix> en la clase FACILITY. Esto permite que el servidor sincronice cualquier identidad RunAs con la identidad de sistema operativo:
      PERMIT BBG.SYNC.<profilePrefix> ID(<serverUserId>) ACCESS(CONTROL) CLASS(FACILITY)
    • Otorgue al ID de usuario del servidor acceso READ al perfil BBG.SYNC.<profilePrefix> en la clase FACILITY. Asimismo, otorgue al ID de usuario del servidor acceso READ a uno o varios perfiles BBG.SYNC.<runAsUserId> en la clase SURROGATE, uno para cada identidad RunAs que se va a sincronizar con la identidad de sistema operativo:
      PERMIT BBG.SYNC.<profilePrefix> ID(<serverUserId>) ACCESS(READ) CLASS(FACILITY)
      PERMIT BBG.SYNC.<runAsUserId> ID(<serverUserId>) ACCESS(READ) CLASS(SURROGAT)
    Nota: <profilePrefix> toma de forma predeterminada el valor "BBGZDFLT" y se puede configurar mediante <safCredentials profilePrefix="xx"> en el archivo de configuración.

    Para obtener más información sobre syncToOSThread, consulte la información sobre la identidad de hebra Java y la identidad de hebra de sistema operativo en la documentación de WebSphere Application Server for z/OS.


Icono que indica el tipo de tema Tema de tarea

Nombre de archivo: twlp_synctoosthread_j2c.html