Zum Aktivieren von syncToOSThread in Liberty verwenden Sie die Features appSecurity-1.0 und zosSecurity-1.0 mit zusätzlicher Konfiguration.
Vorbereitende Schritte
Für die Aktivierung der syncToOSThread-Unterstützung sind die
Features appSecurity-1.0 und zosSecurity-1.0 erforderlich.
Außerdem müssen Sie das Konfigurationselement syncToOSThread
definieren. Sie müssen zudem die SAF-Registry für Authentifizierung verwenden, und
berechtigte SAF-Services müssen verfügbar sein.
Da für die syncToOSThread-Unterstützung
berechtigte SAF-Services erforderlich sind, muss der Angel-Prozess betriebsbereit und mit dem Server verbunden
sein. Weitere Informationen zum Angel-Prozess
finden Sie unter Prozesstypen unter z/OS.
Vorgehensweise
- Konfigurieren Sie die Anwendung für die Verwendung von syncToOSThread, indem Sie dem Implementierungsdeskriptor der Anwendung den
folgenden Eintrag des Typs env-entry hinzufügen:
<env-entry>
<env-entry-name>com.ibm.websphere.security.SyncToOSThread</env-entry-name>
<env-entry-type>java.lang.Boolean</env-entry-type>
<env-entry-value>true</env-entry-value>
</env-entry>
- Konfigurieren Sie den Server für die Aktivierung von syncToOSThread für Anwendungen,
indem Sie die Features appSecurity-1.0 und zosSecurity-1.0 hinzufügen
und das Konfigurationselement syncToOSThread mit dem
Attribut appEnabled="true" definieren. Stellen Sie zudem sicher, dass die SAF-Registry
für die Authentifizierung verwendet wird.
<featureManager>
<feature>appSecurity-1.0</feature>
<feature>zosSecurity-1.0</feature>
</featureManager>
<safRegistry id="saf" />
<syncToOSThread appEnabled="true" />
- Erteilen Sie dem Server die Berechtigung, syncToOSThread-Operationen auszuführen,
indem Sie Ihr SAF-Produkt mit einem der folgenden Profile konfigurieren:
- Erteilen Sie der Benutzer-ID des Servers Steuerungszugriff (CONTROL) auf das Profil BBG.SYNC.<Profilpräfix> in der FACILITY-Klasse. Dadurch kann der Server
RunAs-Identitäten mit der Betriebssystemidentität synchronisieren:
PERMIT BBG.SYNC.<Profilpräfix> ID(<Benutzer-ID_des_Servers>) ACCESS(CONTROL) CLASS(FACILITY)
- Erteilen Sie der Benutzer-ID des Servers Lesezugriff (READ) auf das Profil BBG.SYNC.<Profilpräfix> in der FACILITY-Klasse. Erteilen Sie außerdem der Benutzer-ID des Servers Lesezugriff (READ) auf ein oder mehrere Profile BBG.SYNC.<RunAs-Benutzer-ID> in der SURROGATE-Klasse, d. h. ein Profil für jede RunAs-Identität, die mit der Betriebssystemidentität synchronisiert werden soll:
PERMIT BBG.SYNC.<Profilpräfix> ID(<Benutzer-ID_des_Servers>) ACCESS(READ) CLASS(FACILITY)
PERMIT BBG.SYNC.<RunAs-Benutzer-ID> ID(<Benutzer-ID_des_Servers>) ACCESS(READ) CLASS(SURROGAT)
Anmerkung: Das <Profilpräfix> ist standardmäßig "BBGZDFLT" und kann mit dem Element <safCredentials
profilePrefix="xx"> in Ihrer Konfigurationsdatei konfiguriert werden.
Weitere Informationen zu syncToOSThread finden Sie unter Java™-Thread-Identität
und Betriebssystemidentität.