To enable syncToOSThread for J2C connections on Liberty, you use the
appSecurity-1.0 and zosSecurity-1.0 features with
additional configuration.
Avant de commencer
Enabling syncToOSThread support for J2C connections requires the
appSecurity-1.0 and zosSecurity-1.0 features. You must
also define the syncToOSThread configuration element. In addition, you must use
the SAF registry for authentication, and authorized SAF services must be available.
Because syncToOSThread support requires authorized SAF services the angel
process must be up and running and the server must be connected to it. For more information about
the angel process, see Types de processus sur z/OS.
Procédure
- Configure the server to enable syncToOSThread for J2C connections by
adding the appSecurity-1.0 and zosSecurity-1.0 features
and defining the syncToOSThread configuration element with attribute
j2cEnabled="true". Additionally, ensure the SAF registry must be used for
authentication:
<featureManager>
<feature>appSecurity-1.0</feature>
<feature>zosSecurity-1.0</feature>
</featureManager>
<safRegistry id="saf" />
<syncToOSThread j2cEnabled="true" />
Remarque : - Pour des connexions utilisant une ressource qui spécifie res-auth=container,
définir j2cEnabled=true active syncToOSThread pour les connexions type-2 J2C. L'activation de syncToOSThread synchronise l'identité RunAs Java™
avec l'identité du système d'exploitation lors de l'établissement de la connexion. Cette connexion est alors associée à l'identité
du système d'exploitation et est associée aux mêmes droits et privilèges que l'identité du système d'exploitation.
- Ne spécifiez pas d'alias JAAS pour la source de données si vous voulez utiliser syncToOSThread. L'alias JAAS, s'il est défini, remplacera l'identité du système d'exploitation.
- Accordez au serveur les droits permettant d'exécuter des opérations syncToOSThread en configurant votre produit de fonction d'autorisation système avec l'un des profils suivants :
- Accordez à l'ID utilisateur du serveur l'accès CONTROL au profil BBG.SYNC.<préfixeProfil> dans la classe FACILITY. Ainsi, le serveur pourra synchroniser toute identité RunAs avec l'identité du système d'exploitation :
PERMIT BBG.SYNC.<profilePrefix> ID(<serverUserId>) ACCESS(CONTROL) CLASS(FACILITY)
- Accordez à l'ID utilisateur du serveur l'accès READ au profil BBG.SYNC.<préfixeProfil>
dans la classe FACILITY.
De plus, accordez à l'ID utilisateur du serveur l'accès READ à un ou plusieurs profils
BBG.SYNC.<runAsUserId> dans la classe SURROGATE, un pour
chaque identité RunAs à synchroniser avec l'identité du système d'exploitation :
PERMIT BBG.SYNC.<profilePrefix> ID(<serverUserId>) ACCESS(READ) CLASS(FACILITY)
PERMIT BBG.SYNC.<runAsUserId> ID(<serverUserId>) ACCESS(READ) CLASS(SURROGAT)
Remarque : <préfixeProfil> est "BBGZDFLT" par défaut et peut être configuré avec
<safCredentials profilePrefix="xx"> dans votre fichier de configuration.
Pour plus d'informations sur syncToOSThread, consultez la
section relative à l'identité d'unité d'exécution Java et l'identité d'unité d'exécution
du système d'exploitation, dans la documentation de WebSphere Application Server for z/OS.