在 Liberty for z/OS 上啟用 z/OS 授權服務
z/OS® 上的 Liberty 可讓您的應用程式利用「系統授權機能 (SAF)」授權、工作量管理程式 (WLM)、資源回復服務 (RRS) 和 SVCDUMP 的 z/OS 授權服務。如果您的應用程式需要這些服務,請設定 Liberty Angel Process,並授與存取權給 Liberty 伺服器使用這些服務。
關於這項作業
如果要使用 z/OS 授權服務,您可以使用 RACF® 之類的 SAF 安全產品,來設定下列類型的設定檔:
- 如果您打算將 Liberty 伺服器或 Liberty Angel Process 當作 z/OS 已啟動作業來執行,就需要 SAF STARTED 設定檔。如需 Liberty Angel Process 的相關資訊,請參閱z/OS 上的程序類型。
- 如果您打算讓 Liberty 伺服器針對您的應用程式來存取任何 z/OS 授權服務,就需要 SAF SERVER 設定檔。您可以在下列內容中尋找各項服務的說明。
註: 如果您不打算將 Liberty 伺服器當作「已啟動作業」來執行,也不打算使用任何授權服務,就不需要設定 RACF。
程序
- 建立 Angel 和 Liberty 伺服器程序之 PROC 的 STARTED 設定檔。
這個動作會使 Angel 和 Liberty 伺服器能夠作為「已啟動作業」來執行。
- 讓 Anget 以使用者 ID WLPUSER0 來執行:
rdef started bbgzangl.* uacc(none) stdata(user(WLPUSER0) group(wasuser) privileged(no) trusted(no) trace(yes))
- 讓以 BBGZSRV 程序名稱來執行的伺服器,以使用者 ID WLPUSER1 來執行:
rdef started bbgzsrv.* uacc(none) stdata(user(WLPUSER1) group(wasuser) privileged(no) trusted(no) trace(yes))
- 讓 Anget 以使用者 ID WLPUSER0 來執行:
- 建立 Angel Process 的 SERVER 設定檔,允許 WLPUSER1 使用者 ID。
這個動作會授權 Liberty 伺服器存取 z/OS 授權服務所需要的 Angel Process。 如果要建立未命名的 Angel 伺服器設定檔,並讓以 WLPUSER1 身分執行的伺服器與它連接,請發出下列指令:
RDEF SERVER BBG.ANGEL UACC(NONE) PERMIT BBG.ANGEL CLASS(SERVER) ACCESS(READ) ID(wlpuser1)
如果要建立指名的 Angel 伺服器設定檔,並讓以 WLPUSER1 身分執行的伺服器與它連接,請發出下列指令:
您指定給 namedAngelName 變數的設定檔名稱是新 Angel 的名稱。RDEF SERVER BBG.ANGEL.namedAngelName UACC(NONE) PERMIT BBG.ANGEL.namedAngelName CLASS(SERVER) ACCESS(READ) ID(WLPUSER1)
提示: 您可以使用通用設定檔(例如 BBG.ANGEL.*),授與某個使用者 ID 存取多個 Angel。
- 建立授權模組 BBGZSAFM 的 SERVER 設定檔,並允許 Liberty 伺服器的「已啟動作業」使用者 ID 存取此設定檔。
這個動作可讓 Liberty 伺服器使用 z/OS 授權服務。如果要讓以 WLPUSER1 身分執行的伺服器存取授權模組,請執行下列動作:
RDEF SERVER BBG.AUTHMOD.BBGZSAFM UACC(NONE) PERMIT BBG.AUTHMOD.BBGZSAFM CLASS(SERVER) ACCESS(READ) ID(wlpuser1)
- 建立提供給 z/OS 平台之個別授權服務的 SERVER 設定檔。
這些設定檔可讓伺服器呼叫個別的授權服務,這些服務依功能分組如下:
- 啟用 SAF 授權使用者登錄服務和 SAF 授權服務 (SAFCRED):
RDEF SERVER BBG.AUTHMOD.BBGZSAFM.SAFCRED UACC(NONE) PERMIT BBG.AUTHMOD.BBGZSAFM.SAFCRED CLASS(SERVER) ACCESS(READ) ID(wlpuser1)
- 啟用 WLM 服務 (ZOSWLM):
RDEF SERVER BBG.AUTHMOD.BBGZSAFM.ZOSWLM UACC(NONE) PERMIT BBG.AUTHMOD.BBGZSAFM.ZOSWLM CLASS(SERVER) ACCESS(READ) ID(wlpuser1)
- 啟用 RRS 交易服務 (TXRRS):
RDEF SERVER BBG.AUTHMOD.BBGZSAFM.TXRRS UACC(NONE) PERMIT BBG.AUTHMOD.BBGZSAFM.TXRRS CLASS(SERVER) ACCESS(READ) ID(wlpuser1)
- 啟用 SVCDUMP 服務 (ZOSDUMP):
RDEF SERVER BBG.AUTHMOD.BBGZSAFM.ZOSDUMP UACC(NONE) PERMIT BBG.AUTHMOD.BBGZSAFM.ZOSDUMP CLASS(SERVER) ACCESS(READ) ID(wlpuser1)
- 如果要啟用最佳化本端配接器服務:
RDEF SERVER BBG.AUTHMOD.BBGZSAFM.LOCALCOM UACC(NONE) PERMIT BBG.AUTHMOD.BBGZSAFM.LOCALCOM CLASS(SERVER) ACCESS(READ) ID(wlpuser1) RDEF SERVER BBG.AUTHMOD.BBGZSAFM.WOLA UACC(NONE) PERMIT BBG.AUTHMOD.BBGZSAFM.WOLA CLASS(SERVER)ACCESS(READ) ID(wlpuser1)
- 如果要啟用 IFAUSAGE 服務 (PRODMGR):
RDEF SERVER BBG.AUTHMOD.BBGZSAFM.PRODMGR UACC(NONE) PERMIT BBG.AUTHMOD.BBGZSAFM.PRODMGR CLASS(SERVER) ACCESS(READ) ID(wlpuser1)
- 如果要啟用 AsyncIO 服務 (ZOSAIO):
RDEF SERVER BBG.AUTHMOD.BBGZSAFM.ZOSAIO UACC(NONE) PERMIT BBG.AUTHMOD.BBGZSAFM.ZOSAIO CLASS(SERVER) ACCESS(READ) ID(wlpuser1)
- 啟用 SAF 授權使用者登錄服務和 SAF 授權服務 (SAFCRED):
- 建立授權用戶端模組 BBGZSCFM 的 SERVER 設定檔,並允許 Liberty 伺服器的「已啟動作業」使用者 ID 存取此設定檔。
這個動作可讓 Liberty 伺服器載入 z/OS 授權用戶端服務。 如果要讓以 WLPUSER1 身分執行的伺服器存取授權用戶端模組,請執行下列動作:
RDEF SERVER BBG.AUTHMOD.BBGZSCFM UACC(NONE) PERMIT BBG.AUTHMOD.BBGZSCFM CLASS(SERVER) ACCESS(READ) ID(wlpuser1)
- 針對提供給 z/OS 平台的個別授權用戶端服務,建立 SERVER 設定檔。這些設定檔可讓用戶端呼叫伺服器提供的個別授權服務。 這些服務是依功能來分組:
- 如果要啟用最佳化本端配接器服務:
RDEF SERVER BBG.AUTHMOD.BBGZSCFM.WOLA UACC(NONE) PERMIT BBG.AUTHMOD.BBGZSCFM.WOLA CLASS(SERVER) ACCESS(READ) ID(wlpuser1)
- 如果要啟用最佳化本端配接器服務:
次主題
- 使用 WZSSAD 來存取 z/OS 安全資源
「WLP z/OS 系統安全存取網域 (WZSSAD)」是指授與 Liberty 伺服器的許可權。 當進行使用者的鑑別及授權時,這些許可權用來控制允許伺服器查詢的「系統授權機能 (SAF)」應用程式網域及資源設定檔。 - 在 z/OS 上啟用 Liberty 的非同步 TCP/IP 通訊端 I/O
您可以使用「z/OS 上 Liberty 的非同步 TCP/IP 通訊端 I/O (AsyncIO)」服務,在作業系統層次上提供「非同步 I/O」套件的基本功能。 AsyncIO on z/OS 服務使用原生服務,在許多環境中提高效能和可調整性。 - SAF 登錄使用的未授權服務
「系統授權機能 (SAF)」登錄使用 LE (Language Environment®) 所提供之 C 環境中的若干未獲授權的服務。 - 設定系統授權機能 (SAF) 未經鑑別的使用者
如果您使用 SAF 使用者登錄,則需要指定一個 SAF 使用者 ID,來代表未經鑑別的狀態。在 server.xml 中,未經鑑別使用者 ID 的名稱指定在 SAFCredentials 元素的 unauthenticatedUser 屬性上。請務必在您的 SAF 登錄中,正確定義這個使用者 ID。如果您使用 RACF SAF 使用者登錄,未經鑑別的使用者(預設為 WSGUEST)需要一個唯一預設群組 (DFLTGRP),且沒有其他使用者 ID 連接該群組,同時也需要 OMVS 區段(但不是 TSO 區段),以及 NOPASSWORD、NOOIDCARD 和 RESTRICTED 選項。如果您有另一項 SAF 使用者登錄(不是 RACF),請尋找該 SAF 登錄所提供並等同於這些 RACF 選項的使用者 ID 選項。 當元件使用 REST Handler 架構時所需的 SAF 許可權
對於具有 Liberty 元件且這些元件以 REST Handler 架構為建置基礎的「系統授權機能 (SAF)」,其 z/OS 使用者必須授與 allAuthenticatedUsers 許可權。
上層主題: 授權存取 Liberty 中的資源
相關概念:

檔名:twlp_config_security_zos.html