![[z/OS]](../images/ngzos.gif)
Plug-in-Anmeldemodule für die Zuordnung von Java EE-Identitäten zu System Authorization Facility (SAF) aktivieren
Sie müssen verschiedene Aktionen ausführen, um Plug-in-Anmeldemodule in die Lage zu versetzen, Java™ EE-Identitäten SAF ordnungsgemäß zuzuordnen. Zu diesen Aktionen gehören das Konfigurieren der aktiven Benutzerregistry von WebSphere Application Server und das Konfigurieren von Plug-in-Zuordnungsmodulen.
Vorbereitende Schritte
Informationen zu diesem Vorgang
Vorgehensweise
- Konfigurieren Sie als aktive Benutzerregistry von
WebSphere Application Server eine LDAP-Registry
oder eine angepasste Registry. Verwenden Sie anschließend SAF-Services wie die folgenden:
- SAF-EJBROLE-Profile zur Steuerung der Autorisierung in WebSphere Application Server. Weitere Informationen hierzu finden Sie im Artikel Rollenbasierte Berechtigung.
- Einer Anwendung ermöglichen, eine WebSphere Application Server-Anwendung auszuführen und die Betriebssystemidentität auf den Wert der Java EE-Identität zu setzen. Dieser Vorgang wird als erneutes Laden der JSPs bezeichnet. Weitere Informationen finden Sie in den Artikeln "SynchToOSThread zulässig" für Anwendungen und Wann die Option "SynchToOSThread zulässig" verwendet werden sollte.
- Verwendung der Java EE-Clientidentität zum Absetzen einer Verbindungsmanagementanforderung für einen lokalen nativen Connector wie CICS, Information Management System (IMS), Database 2 (DB2) oder Java Messaging Service (JMS). Weitere Informationen hierzu finden Sie im Artikel Java-EE-Identität und Betriebssystemthreadidentität.
- Überwachung mit "SMF audit". Lesen Sie die Informationen zur Verwendung des SMF-Typs 80, um die Unterstützung der Überwachung vorbereiten.
- Für die Verwendung von Plug-in-Anmeldemodulen müssen Sie in den entsprechenden Konfigurationen
für Systemanmeldung ein Plug-in-Zuordnungsmodul und ein von
WebSphere Application Server for z/OS
bereitgestelltes Modul definieren. Falls Sie eine andere Registry als localOS ausgewählt haben und keine Zuordnung erfolgt,
gibt es für eine bestimmte Identität keine gültige Zuordnung.
- Die SAF-Autorisierung wird nicht unterstützt: Wenn die SAF-Autorisierung ausgewählt wird und eine Methode geschützt ist, scheitert die Methode.
- "Application Sync to OS Thread" wird nicht unterstützt: Anforderungen werden immer mit der Benutzer-ID des Servant ausgeführt.
- Wenn für native Connector res-auth=container gesetzt und kein Aliasname angegeben ist, wird eine Verbindungsmanagementanforderung unter der Benutzer-ID des Servant ausgeführt.
- Plug-in-Anmeldemodule können unter folgenden Bedingungen verwendet werden:
- Als WebSphere Application Serverauthentifizierungsverfahren ist SWAM (Simple WebSphere Authentication Mechanism) oder LTPA (Lightweight Third-Party Authentication) angegeben. SWAM ist in WebSphere Application Server Version 9.0 veraltet und wird in einem der künftigen Releases nicht mehr enthalten sein.
- Das ausgehandelte IIOP-Authentifizierungsprotokoll (Internet Inter-ORB) verwendet CSIV2 (Common Secure Interoperability Version 2).
- Es wird eine Webanforderung abgesetzt.
Zugehörige Konzepte:


http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_pluglogmodsracf
Dateiname:tsec_pluglogmodsracf.html