Para habilitar syncToOSThread en Liberty, utilice las características
appSecurity-1.0 y zosSecurity-1.0 con la configuración adicional.
Antes de empezar
La habilitación del soporte syncToOSThread requiere las características appSecurity-1.0 y zosSecurity-1.0. También debe definir el elemento de configuración syncToOSThread. Asimismo, debe utilizar el registro SAF para la autenticación, y los servicios SAF autorizados deben estar disponible.
Como el soporte syncToOSThread
requiere los servicios SAF autorizados, el proceso ángel debe estar activo y en ejecución, y el servidor debe estar conectado a él. Para obtener más información sobre el proceso ángel, consulte Tipos de proceso en z/OS.
Procedimiento
- Configure la aplicación para que utilice syncToOSThread añadiendo la siguiente env-entry al descriptor de despliegue de la aplicación:
<env-entry>
<env-entry-name>com.ibm.websphere.security.SyncToOSThread</env-entry-name>
<env-entry-type>java.lang.Boolean</env-entry-type>
<env-entry-value>true</env-entry-value>
</env-entry>
- Configure el servidor para habilitar syncToOSThread para las aplicaciones. Para ello, añada las características appSecurity-1.0 y zosSecurity-1.0,
y defina el elemento de configuración syncToOSThread con el atributo appEnabled="true". Asimismo, asegúrese de que se utilice el registro SAF para la autenticación:
<featureManager>
<feature>appSecurity-1.0</feature>
<feature>zosSecurity-1.0</feature>
</featureManager>
<safRegistry id="saf" />
<syncToOSThread appEnabled="true" />
- Otorgue al servidor permiso para realizar operaciones syncToOSThread configurando el producto SAF con alguno de los perfiles siguientes:
- Otorgue al ID de usuario del servidor acceso CONTROL al perfil
BBG.SYNC.<profilePrefix> en la clase FACILITY. Esto permite que el servidor sincronice cualquier identidad RunAs con la identidad de sistema operativo:
PERMIT BBG.SYNC.<profilePrefix> ID(<serverUserId>) ACCESS(CONTROL) CLASS(FACILITY)
- Otorgue al ID de usuario del servidor acceso READ al perfil
BBG.SYNC.<profilePrefix> en la clase FACILITY. Asimismo, otorgue al ID de usuario del servidor acceso READ a uno o varios perfiles
BBG.SYNC.<runAsUserId> en la clase SURROGATE, uno para cada identidad RunAs que se va a sincronizar con la identidad de sistema operativo:
PERMIT BBG.SYNC.<profilePrefix> ID(<serverUserId>) ACCESS(READ) CLASS(FACILITY)
PERMIT BBG.SYNC.<runAsUserId> ID(<serverUserId>) ACCESS(READ) CLASS(SURROGAT)
Nota: <profilePrefix> toma de forma predeterminada el valor "BBGZDFLT" y
se puede configurar mediante el elemento <safCredentials
profilePrefix="xx"> en
el archivo de configuración.
Para obtener más información sobre syncToOSThread, consulte Identidad de hebra Java™ y una identidad de hebra de sistema operativo