[z/OS]

z/OS-SAF-Berechtigung

Verwenden Sie diese Seite, um System Authorization Facility (SAF) und die Eigenschaften für die SAF-Berechtigung zu konfigurieren.

Gehen Sie zum Aktivieren der SAF-Berechtigung wie folgt vor:
  1. Klicken Sie auf Sicherheit > Globale Sicherheit > Externe Berechtigungsprovider.
  2. Wählen Sie in der Dropdown-Liste unter "Berechtigungsprovider" den Eintrag System Authorization Facility (SAF) aus.
  3. Klicken Sie auf die Schaltfläche Konfigurieren.
Wenn Sie die SAF-Berechtigung auswählen, verwendet WebSphere Application Server die Berechtigungsrichtlinie, die im z/OS-Sicherheitsprodukt für Berechtigung gespeichert ist. Wenn eine LDAP-Registry oder eine angepasste Registry konfiguriert und die SAF-Autorisierung angegeben ist, muss bei jeder Anmeldung eine Zuordnung zu einem z/OS-Principal erfolgen, damit geschützte Methoden ausgeführt werden können.
  • Wenn als Authentifizierungsverfahren LTPA (Lightweight Third Party Authentication) verwendet wird, sollten Sie die folgenden Konfigurationseinträge aktualisieren, so dass diese eine Zuordnung zu einem gültigen z/OS-Principal (wie WEB_INBOUND, RMI_INBOUND und DEFAULT) enthalten.
  • Wenn als Authentifizierungsverfahren SWAM (Simple WebSphere Authentication Mechanism) verwendet wird, müssen Sie in der SWAM-Konfiguration eine Zuordnung zu einem gültigen z/OS-Principal angeben.
    Anmerkung: SWAM ist veraltet und wird in einem der künftigen Releases entfernt.

Die allgemeinen Eigenschaften für nicht authentifizierte Benutzer, SAF-Autorisierung und die Nachrichtenunterdrückung für SAF EJBROLE sind keine angepassten Eigenschaften mehr.

Wenn Sie diese Option auswählen, verwendet WebSphere Application Server die Berechtigungsrichtlinie, die im z/OS-Sicherheitsprodukt für Berechtigung gespeichert ist.

Nicht authentifizierte Benutzer-ID

Gibt die MVS-Benutzer-ID an, die ungeschützte Servletanforderungen repräsentiert, wenn die SAF-Berechtigung angegeben ist oder eine LocalOS-Registry konfiguriert wird. Diese Benutzer-ID kann maximal 8 Zeichen lang sein.

Dieses Eigenschaftendefinition wird für Folgendes verwendet:
  • Für die Autorisierung, wenn ein ungeschütztes Servlet eine Entity-Bean aufruft.
  • Für die Identifizierung eines ungeschützten Servlets zum Aufrufen eines z/OS-Connector wie Customer Information Control System (CICS) oder Information Management System (IMS), der eine aktuelle ID verwendet, wenn res-auth=container gilt.
  • Wenn eine Anwendung versucht, eine SynchToOSThread-Funktion einzuleiten.
Nähere Informationen hierzu finden Sie in den folgenden Artikeln im Information Center:
  • ""SynchToOSThread zulässig" für Anwendungen"
  • "Wann die Option "SynchToOSThread zulässig" verwendet werden sollte"

Mapper für SAF-Profile

Gibt den Namen des SAF-EJBRole-Profils an, dem ein J2EE-Rollenname zugeordnet wird. Der Name, den Sie angeben, implementiert die Schnittstelle "com.ibm.websphere.security.SAFRoleMapper".

Anfänglich wird die Implementierungsklasse "com.ibm.ws.security.zOS.authz.SAFRoleMapperImpl", die Standardimplementierung für den SAF-Rollen-Mapper, konfiguriert. Bei dieser Erstkonfiguration werden alle Zeichen, die in einem SAF-Rollennamen nicht zulässig sind, wie z. B. das Prozentzeichen (%), das Et-Zeichen (&), der Stern (*) und Leerzeichen, einem Rautenzeichen (#) zugeordnet.

Weitere Informationen hierzu finden Sie im Artikel Angepassten Mapper für SAF-EJB-Rollen entwickeln.

SAF-Delegierung aktivieren

Diese Eigenschaft gibt an, dass SAF-EJBROLE-Definitionen festlegen, welche MVS-Benutzer-ID zur aktiven Identität wird, wenn Sie die angegebene RunAs-Rolle auswählen.

Wählen Sie die Option SAF-Delegierung aktivieren nur aus, wenn Sie die Option SAF-Berechtigung aktivieren als externen Berechtigungsprovider auswählen.

APPL-Profil verwenden, um den Zugriff auf den Anwendungsserver einzuschränken

Verwenden Sie das APPL-Profil, um den Zugriff auf WebSphere Application Server einzuschränken.

Wenn Sie ein SAF-Profilpräfix definiert haben, ist das verwendete APPL-Profil das Profilpräfix. Andernfalls lautet der APPL-Profilname CBS390. Alle z/OS-Identitäten, die WebSphere-Services verwenden, müssen Leseberechtigung für das APPL-Profil haben. Zu diesen IDs gehören alle IDs von WebSphere Application Server, alle nicht authentifizierten IDs von WebSphere Application Server, alle Administrations-IDs von WebSphere Application Server, alle auf Zuordnungen von Rollen zu Benutzern basierenden Benutzer-IDs und alle Benutzer-IDs von Systembenutzern. Wenn die APPL-Klasse auf dem z/OS-System nicht aktiv ist, hat diese Eigenschaft, unabhängig vom Wert, keine Wirkung.

Information Wert
Standardeinstellung Aktiviert

Berechtigungsfehlernachrichten vom z/OS-Sicherheitsprodukt unterdrücken

Gibt an, ob ICH408I-Nachrichten aktiviert oder inaktiviert sind. Diese Eigenschaft ist standardmäßig nicht ausgewählt, so dass Nachrichten nicht unterdrückt werden.

SMF (System Management Facility) zeichnet Zugriffsschutzverletzen auf, egal welcher Wert für diese neue Eigenschaft angegeben ist. Diese Eigenschaft wirkt sich auf die Generierung von Zugriffsverletzungsnachrichten für anwendungsdefinierte Rollen und für Rollen der WAS-Laufzeit des Benennungs- und Verwaltungssubsystems aus. Überprüfungen des Profils EJBROLE werden als deklaratorische Überprüfungen und programmgesteuerte Überprüfungen durchgeführt.
  • Deklarative Überprüfungen sind als Sicherheitseinschränkungen in Webanwendungen und Implementierungsdeskriptoren als Sicherheitseinschränkungen in EJB-Dateien (Enterprise JavaBeans) codiert.
  • Programmlogikprüfungen oder Zugriffsprüfungen werden mit der Methode isCallerinRole(x) für Enterprise-Beans oder der Methode "isUserInRole(x)" für Webanwendungen durchgeführt.
Fehler vermeiden Fehler vermeiden:
  • Wenn Sie nicht möchten, dass Nachrichten für Verwaltungsrollen unterdrückt werden, wenn die SMF-Prüfsatzstrategie auf Default eingestellt ist, setzen Sie die Eigenschaft "com.ibm.security.SAF.EJBROLE.Audit.Messages.Suppress.Admin" auf false. Der für diese Eigenschaft angegebene Wert überschreibt jede andere Einstellung, die die Nachrichtenunterdrückung für Verwaltungsrollen steuert.
  • Wenn fremde Berechtigungsprovider verwendet werden, z. B. Tivoli Access Manager oder Service Access Facility (SAF) für z/OS, spiegeln die Informationen in der Administrationskonsole möglicherweise nicht die Daten im Provider wider. Möglicherweise werden auch Änderungen in dieser Anzeige nicht automatisch im Provider wiedergegeben. Informieren Sie den Provider gemäß seinen Anweisungen über die Änderungen in dieser Anzeige.
gotcha

Weitere Informationen zur SAF-Berechtigung finden Sie im Artikel "Zugriff auf die Konsole bei der Verwendung einer LocalOS-Registry steuern" im Information Center. Nähere Informationen zu Verwaltungsrollen finden Sie im Artikel "Verwaltungsrollen" im Information Center.

Information Wert
Standardeinstellung Inaktiviert, d. h., Nachrichten werden nicht unterdrückt.

Strategie für SMF-Prüfsätze

Bestimmt, wann ein Prüfsatz in System Management Facility (SMF) geschrieben wird. Bei jedem Berechtigungsaufruf kann RACF oder ein entsprechendes SAF-basiertes Produkt einen Prüfsatz mit dem Ergebnis der Berechtigungsprüfung in SMF schreiben.

WebSphere Application Server for z/OS verwendet die Operationen SAF RACROUTE AUTH und RACROUTE FASTAUTH und übergibt die Option LOG, die in der Sicherheitskonfiguration angegeben ist. Die Optionen sind DEFAULT, ASIS, NOFAIL und NONE.

Die folgenden Optionen sind in der Dropdown-Liste verfügbar:
DEFAULT

Wenn mehrere Rollenvorgaben angegeben sind, z. B. der Benutzer muss einer von mehreren Rollen zugeordnet sein, werden alle Rollen mit Ausnahme der letzten markiert, wenn die Option NOFAIL angegeben ist. Wenn die Berechtigung in einer der Rollen vor der letzten erteilt wurde, schreibt WebSphere Application Server einen Erfolgsdatensatz zur Berechtigung. Falls die Berechtigung für keine dieser Rollen erfolgreich verläuft, wird die letzte Rolle mit der Protokolloption ASIS markiert. Wenn der Benutzer die Berechtigung für die letzte Rolle besitzt, wird unter Umständen ein Erfolgsdatensatz geschrieben. Wenn der Benutzer nicht berechtigt ist, kann ein Fehlerdatensatz geschrieben werden.

ASIS
Gibt an, dass die Prüfereignisse so aufgezeichnet werden, wie es in dem Profil, das die Ressource schützt, oder wie es mit den SETROPTS-Optionen angegeben ist.
NOFAIL
Gibt an, dass keine Fehler aufgezeichnet werden. Es werden keine Nachrichten zu Berechtigungsfehlern ausgegeben, aber Erfolgsdatensätze können geschrieben werden.
NONE
Gibt an, dass weder erfolgreiche noch fehlgeschlagene Berechtigungen aufgezeichnet werden.

Es wird nur ein Fehlerdatensatz für eine fehlgeschlagene Java EE-Berechtigungsprüfung geschrieben, wenn mehrere SAF-Berechtigungsaufrufe abgesetzt werden. Weitere Informationen zu den LOG-Optionen für SAF-RACROUTE-Aufrufe finden Sie in der Dokumentation zu RACF oder einem entsprechenden SAF-basierten Produkt. Weitere Informationen zur Überprüfbarkeit von Aufrufen über SMF, die während der Verarbeitung der Ressourcenberechtigung von WebSphere Application Server an RACROUTE-Makros und SAF-APIs gerichtet sind, finden Sie im Artikel zur Prüfungsunterstützung.

Präfix für SAF-Profile

Gibt ein Präfix an, das allen SAF-EJBROLE-Profilen hinzugefügt werden soll, die für Java EE-Rollen verwendet werden. Außerdem wird dieses Präfix als APPL-Profilname verwendet und in den Profilnamen eingefügt, der für CBIND-Prüfungen verwendet wird. Es gibt keinen Standardwert für das Feld "Präfix für SAF-Profile". Wenn kein Präfix explizit angegeben wird, wird den SAF-EJBROLE-Profilen kein hinzufügt. Stattdessen wird der Standardwert CBS390 als APPL-Profilname verwendet, und dem Profilnamen wird keine Angabe für CBIND-Prüfungen hinzugefügt.

Sie können das APPL-Profil verwenden, um den Zugriff auf WebSphere Application Server einzuschränken.

Wenn Sie ein SAF-Profilpräfix definiert haben, ist das verwendete APPL-Profil das Profilpräfix. Andernfalls lautet der APPL-Profilname CBS390. Alle z/OS-Identitäten, die WebSphere-Services verwenden, müssen Leseberechtigung für das APPL-Profil haben. Zu diesen IDs gehören alle IDs von WebSphere Application Server, alle nicht authentifizierten IDs von WebSphere Application Server, alle Administrations-IDs von WebSphere Application Server, alle auf Zuordnungen von Rollen zu Benutzern basierenden Benutzer-IDs und alle Benutzer-IDs von Systembenutzern. Wenn die APPL-Klasse auf dem z/OS-System nicht aktiv ist, hat diese Eigenschaft, unabhängig vom Wert, keine Wirkung.

Anmerkung: Das SAF-Profilpräfix entspricht der Eigenschaft com.ibm.security.SAF.profilePrefix.name in der Datei security.xml.

Symbol, das den Typ des Artikels anzeigt. Referenzartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=usec_safpropszos
Dateiname:usec_safpropszos.html