Um syncToOSThread für J2C-Verbindungen in Liberty zu aktivieren,
verwenden Sie die Features appSecurity-1.0 und zosSecurity-1.0 mit zusätzlicher Konfiguration.
Vorbereitende Schritte
Voraussetzung für die Aktivierung der syncToOSThread-Unterstützung für J2C-Verbindungen
sind die Features appSecurity-1.0 und zosSecurity-1.0.
Außerdem müssen Sie das Konfigurationselement syncToOSThread
definieren. Darüber hinaus müssen Sie die SAF-Registry für Authentifizierung verwenden und berechtigte SAF-Services müssen verfügbar sein.
Da für die syncToOSThread-Unterstützung
berechtigte SAF-Services erforderlich sind, muss der Angel-Prozess betriebsbereit und mit dem Server verbunden
sein. Weitere Informationen zum Angel-Prozess
finden Sie unter Prozesstypen unter z/OS.
Vorgehensweise
- Konfigurieren Sie den Server, um syncToOSThread für J2C-Verbindungen zu aktivieren, indem Sie
die Features appSecurity-1.0 und zosSecurity-1.0 hinzufügen, und definieren Sie das syncToOSThread-Konfigurationselement mit dem Attribut j2cEnabled="true". Stellen Sie zudem sicher, dass die SAF-Registry
für die Authentifizierung verwendet wird.
<featureManager>
<feature>appSecurity-1.0</feature>
<feature>zosSecurity-1.0</feature>
</featureManager>
<safRegistry id="saf" />
<syncToOSThread j2cEnabled="true" />
Anmerkung: - Für Verbindungen, die eine Ressource verwenden, die res-auth=container angibt,
aktiviert die Einstellung j2cEnabled=true
den syncToOSThread für J2C-Verbindungen vom Typ 2.
Wird syncToOSThread aktiviert, wird die
Java™-RunAs-Identität mit der Betriebssystemidentität beim Herstellen der Verbindung synchronisiert.
Die Verbindung wird dabei der Betriebssystemidentität zugeordnet und erhält
dieselben Berechtigungen und Zugriffsrechte wie die Betriebssystemidentität.
- Geben Sie keinen
JAAS-Alias für die Datenquelle an, wenn Sie syncToOSThread verwenden möchten.
Der JAAS-Alias, sofern definiert, überschreibt die Betriebssystemidentität.
- Erteilen Sie dem Server die Berechtigung, syncToOSThread-Operationen auszuführen,
indem Sie Ihr SAF-Produkt mit einem der folgenden Profile konfigurieren:
- Erteilen Sie der Benutzer-ID des Servers Steuerungszugriff (CONTROL) auf das Profil BBG.SYNC.<Profilpräfix> in der FACILITY-Klasse. Dadurch kann der Server
RunAs-Identitäten mit der Betriebssystemidentität synchronisieren:
PERMIT BBG.SYNC.<Profilpräfix> ID(<Benutzer-ID_des_Servers>) ACCESS(CONTROL) CLASS(FACILITY)
- Erteilen Sie der Benutzer-ID des Servers Lesezugriff (READ) auf das Profil BBG.SYNC.<Profilpräfix> in der FACILITY-Klasse. Erteilen Sie außerdem der Benutzer-ID des Servers Lesezugriff (READ) auf ein oder mehrere Profile BBG.SYNC.<RunAs-Benutzer-ID> in der SURROGATE-Klasse, d. h. ein Profil für jede RunAs-Identität, die mit der Betriebssystemidentität synchronisiert werden soll:
PERMIT BBG.SYNC.<Profilpräfix> ID(<Benutzer-ID_des_Servers>) ACCESS(READ) CLASS(FACILITY)
PERMIT BBG.SYNC.<RunAs-Benutzer-ID> ID(<Benutzer-ID_des_Servers>) ACCESS(READ) CLASS(SURROGAT)
Anmerkung: Das <Profilpräfix> ist standardmäßig "BBGZDFLT" und kann mit dem Element
<safCredentials profilePrefix="xx"> in Ihrer Konfigurationsdatei konfiguriert werden.
Weitere Informationen zu syncToOSThread finden Sie in der Dokumentation zu WebSphere Application Server for z/OS unter "Java-Threadidentität und Betriebssystemthreadidentität".