![[z/OS]](../images/ngzos.gif)
Sichere Anwendungen aktivieren
Aus der z/OS-Perspektive impliziert der Begriff "sichere Anwendungen", dass die Steuerung für gestartete Tasks (STC, Started Task Control) in WebSphere Application Server als "sichere Anwendung" eingestuft wird und die SAF-Identität (System Authorization Facility) im Ausführungsthread ändern darf. Wenn eine z/OS-Anwendung (z. B. WebSphere Application Server) anerkannt ist, lässt die Sicherheitsinfrastruktur unter Beibehaltung der Integrität des MVS-Systems die Erstellung von MVS-Berechtigungsnachweisen ohne Kennwort, Passticket oder Zertifikat als Authentifikator zu.
Aufgrund der Verwendung der Klasse FACILITY und des Klassenprofils BBO.TRUSTEDAPPS sind generell sichere Anwendungen erforderlich, wenn SAF als Benutzerregistry des Typs "LocalOS" verwendet wird oder wenn Sie mit der SAF-Berechtigung arbeiten möchten. Wenn in WebSphere Application Server die Verwendung der SAF-Sicherheit für eine Benutzerregistry des lokalen Betriebssystems, der SAF-Berechtigung oder der Option "Synchronisation mit Thread zulässig" konfiguriert ist, müssen sichere Anwendungen aktiviert werden, sodass die Integrität des MVS-Systems gewährleistet bleibt. Sichere Anwendungen entsprechen den MVS-Integritätsregeln, d. h., nicht berechtigte Aufrufende dürfen keinen sensiblen Code von WebSphere Application Server aufrufen, um berechtigte Funktionen auszuführen. Wenn Sie SAF verwenden, müssen Sie die sichere Anwendung in Resource Access Control Facility (RACF) oder einem äquivalenten Produkt definieren. Die Regeln für SAF-Berechtigungsressourcen müssen WebSphere Application Server als sichere Anwendung mit der Berechtigung zum Ändern der ID im Ausführungsthread definieren. Auf diese Weise können WebSphere Application Server und MVS zusammenarbeiten, ohne die Integrität des jeweils anderen Produkts zu gefährden.
FACILITY-Klassenprofile verwenden
Sie aktivieren die gesicherten Anwendungen, indem Sie sicherstellen, dass WebSphere Application Server Server den SAF-Zugriff READ auf die RACF-Klasse FACILITY und das Profil BBO.TRUSTEDAPPS.<Kurzname_der_Zelle>.<Kurzname_des_Clusters> hat.
- Generisches Beispiel:
RDEF FACILITY BBO.TRUSTEDAPPS.**UACC(NONE) PERMIT BBO.TRUSTEDAPPS.** CLASS(FACILITY) ID(MYCBGROUP) ACC(READ) SETROPTS RACLIST(FACILITY) REFRESH
- Spezifisches Beispiel mit einem bestimmen Server, der den Zellenkurznamen
SY1, den Clusterkurznamen BBOC001 und die Benutzer-ID MYSTCCR für die Controllerregion hat.
RDEF FACILITY BBO.TRUSTEDAPPS.SY1.BBOC0001 UACC NONE PERMIT BBO.TRUSTEDAPPS.SY1.BBOC0001 CLASS(FACILITY) ID(MYSTCCR) ACC(READ) SETROPTS RACLIST(FACILITY) REFRESH