針對 Liberty for z/OS 上的出埠支援,維護最佳化本端配接器的安全

針對從 Liberty 伺服器進行出埠呼叫的 WebSphere® 最佳化本端配接器 (WOLA) 連線,維護其安全。

程序

  1. 選擇性的: 設定伺服器端安全。
    1. 在啟用伺服器安全的 z/OS® 上執行 Liberty 伺服器。 如需相關資訊,請參閱在 Liberty 中配置應用程式授權在 Liberty for z/OS 上啟用 z/OS 授權服務
    2. 如果您要從 Liberty 伺服器呼叫「客戶資訊控制系統 (CICS®)」,並且已在 CICS 鏈結伺服器上啟用安全,請選擇一個使用者 ID,以執行 CICS 目標程式。

      依預設,呼叫主旨會取得執行 CICS 目標程式的 MVS 使用者 ID。呼叫主旨是一個執行應用程式元件,以發出最佳化本端配接器要求的主旨。在多數情況下,這個主旨是執行身分,並且配置在應用程式的部署描述子中。

      有三種方法可以定義呼叫主旨的替代主旨:
      • 在 Connection Factory 配置的 authData 元素中指定使用者 ID 與密碼,並參照 connectionFactory 元素中的元素。在下列範例中,最佳化本端配接器的 Connection Factory 會參照 auth2 authData 元素,而這個元素指定了使用者 ID user2 和相關聯的密碼。
        <connectionFactory jndiName="eis/ola" containerAuthDataRef="auth2">
         <properties.ola RegisterName="OLASERVER"/>
        </connectionFactory>
        <authData id="auth2" user="user2" password="{xor}Lz4sLCgwLTtt"/>

        如需配置 Connection Factory 的相關資訊,請參閱 配置 JCA Connection Factory

      • 系統管理者可以在最佳化本端配接器的 Connection Factory 上提供使用者 ID 與密碼。如需相關資訊,請參閱Liberty 上最佳化本端配接器的 Connection Factory 內容
      • 應用程式開發者可以在從最佳化本端配接器 Connection Factory 取得連線的 ConnectionSpec 物件上,提供使用者 ID 與密碼。

      安全服務會嘗試使用所提供的使用者 ID 與密碼進行鑑別。如果鑑別成功,新主旨會取得執行 CICS 目標程式的 MVS 使用者 ID。

    3. 如果您使用 OTMA 從 Liberty 伺服器呼叫 IBM 資訊管理系統 (IMS),而且 Liberty 伺服器和應用程式都配置成使用 sync-to-OS-thread,Liberty 伺服器可以將現行使用者 ID 傳播至 IMS 區域。IMS 區域也必須在 IMSPBxxx PROCLIB 成員中使用選項 OTMASE=FULL 來執行。
  2. 設定用戶端安全。
    1. 如果您已在「系統授權機能 (SAF)」中啟用 CBIND,請授與存取權給將使用最佳化本端配接器的用戶端。
      1. 在 CBIND 類別中,為 Liberty 伺服器定義一個設定檔。設定檔名稱是 BBG.WOLA.<WOLA1>.<WOLA2>.<WOLA3>,其中 WOLA1WOLA2WOLA3 是最佳化配接器群組名稱的三個部分,這三個部分指定在 server.xml 檔的 <zosLocalAdapters> 元素中。您可以使用 SAF RDEFINE TSO 指令來定義設定檔。例如,下列指令會在 CBIND 類別中,為名稱是 LIB1.LIB2.LIB3 的 WOLA 群組建立設定檔:
        rdef cbind bbg.wola.lib1.lib2.lib3 uacc(none)
      2. 允許對設定檔具備讀取權。例如,下列指令允許 username 使用者名稱對 bbg.wola.lib1.lib2.lib3 設定檔具備讀取權:
        permit bbg.wola.lib1.lib2.lib3 class(cbind) access(read) id(username)
        您可以使用星號,允許使用者具備多個設定檔的存取權。下列範例允許 username 使用者對 CBIND 類別中開頭是 bbg.wola 的所有設定檔,具備 READ 存取權:
        rdef cbind bbg.wola.* uacc(none)
        permit bbg.wola.* class(cbind) access(read) id(username)

      如需 SAF 指令和語法的相關資訊,請參閱您 z/OS 版本的說明文件。

    2. 如果您在執行 CICS 鏈結伺服器時,有啟用安全,請將 CICS 配置成啟用使用者身分主張。
      1. 請確定 CICS 區域正在執行且已啟用安全,並且已啟用 EXEC CICS START 檢查。
        • 指定 SEC=YES 參數,以便在 CICS 啟動時啟用安全。
        • 指定 XUSER=YES 參數,以便在啟動時啟用 EXEC CICS START 檢查。

        如需 CICS 系統起始設定參數的相關資訊,請參閱您 CICS 版本的說明文件。

      2. 建立「系統授權機能 (SAF)」SURROGAT 類別定義,允許使用鏈結伺服器的使用者 ID 發出 EXEC CICS START TRAN('BBO#') USERID(<propagated_id>) 指令。
        下列範例顯示定義給 USER1 使用者 ID 的 SURROGAT 類別。此類別可讓使用者 ID OLASERVE 執行 EXEC CICS START TRANS(BBO#) USERID(USER1) 指令,並處理使用 USER1 身分執行的最佳化本端配接器 CICS 鏈結交易。
        RDEFINE SURROGAT USER1.DFHSTART UACC(NONE) OWNER(USER1)  
        PERMIT USER1.DFHSTART CLASS(SURROGAT) ID(USER1)          
        PERMIT USER1.DFHSTART CLASS(SURROGAT) ID(OLASERVE)       
        SETROPTS RACLIST(SURROGAT) REFRESH 

        如需定義 SURROGAT 類別的相關資訊,請參閱您 CICS 版本的說明文件。


指示主題類型的圖示 作業主題

檔名:twlp_dat_security_out.html