[z/OS]

Spezielle Hinweise zur Steuerung des Zugriffs auf Benennungsrollen mit SAF-Autorisierung

Im Folgenden finden Sie spezielle Hinweise für die Steuerung des Zugriffs auf Benennungsrollen in WebSphere Application Server.

Wenn Sie Benutzer Benennungsrollen zuordnen, können Sie die SAF-Berechtigung (EJBROLE-Profile) oder die Berechtigung von WebSphere Application Server für die Steuerung des Zugriffs auf Benennungsrollen verwenden. Informationen zum Aktivieren der SAF-Berechtigung finden Sie im Artikel z/OS-SAF-Berechtigung. Eine Beschreibung der Benennungsrollen finden Sie im Artikel Administrationskonsole und Berechtigung für Namensservice. Der Artikel Benutzer zu Benennungsrollen zuordnen enthält ebenfalls Informationen zu diesem Thema.

Wenn die SAF-Berechtigung aktiviert ist, werden SAF-EJBROLE-Profile verwendet, um den Zugriff auf CosNaming-Funktionen zu steuern. Wenn Sie während der Profilerstellung in z/OS Profile Management Tool z/OS-Sicherheitsprodukt verwenden ausgewählt haben und zusätzlich einen Wert für das SAF-Profilpräfix (z/OS-Sicherheitsdomäne in früheren Versionen), werden die folgenden CosNaming-Rollen von den Anpassungsjobs definiert:
RDEFINE EJBROLE (optionalSecurityDomainName.)CosNamingRead 
 UACC(READ)
RDEFINE EJBROLE (optionalSecurityDomainName.)CosNamingWrite
 UACC(NONE)
RDEFINE EJBROLE (optionalSecurityDomainName.)CosNamingCreate
 UACC(NONE)
RDEFINE EJBROLE (optionalSecurityDomainName.)CosNamingDelete
 UACC(NONE)

PERMIT (optionalSecurityDomainName.)CosNamingRead  CLASS(EJBROLE)
 ID(WSGUEST) ACCESS(READ)
PERMIT (optionalSecurityDomainName.)CosNamingWrite  CLASS(EJBROLE)
 ID(WSCFG1) ACCESS(READ)
PERMIT (optionalSecurityDomainName.)CosNamingCreate  CLASS(EJBROLE)
 ID(WSCFG1) ACCESS(READ)
PERMIT (optionalSecurityDomainName.)CosNamingDelete  CLASS(EJBROLE) 
 ID(WSCFG1) ACCESS(READ)

Sollten Sie die SAF-Autorisierung zu einem späteren Zeitpunkt aktivieren wollen, müssen Sie diese RACF-Befehle absetzen, um ein fehlerfreies Arbeiten von WebSphere Application Server zu gewährleisten. Ändern Sie den Wert WSGUEST, wenn Sie einen anderen nicht authentifizierten Benutzer ausgewählt haben. Ändern Sie den Wert WSCFG1, wenn Sie eine andere Konfigurationsgruppe ausgewählt haben. WSGUEST muss expliziter Lesezugriff (READ) erteilt werden, weil es sich um eine eingeschränkt Benutzer-ID handelt.

Der mit dem Anpassungsjob gewährte Standardzugriff berechtigt alle nicht authentifizierten Benutzer, den Namespace zu lesen. Diese Berechtigungsebene könnte mehr Zugriff gewähren, als von Ihnen gewünscht wird. Zumindest die Gruppe "Konfiguration" (Server und Administratoren) von WebSphere Application Server muss Lesezugriff (read) auf alle Profile haben und allen Clients von WebSphere Application Server for z/OS den Lesezugriff auf das Profil CosNamingRead einräumen.

Falls weitere Benutzer auf CosNaming-Rollen zugreifen müssen, können Sie einzelne Benutzer für jeden der vorgenannten Rollen berechtigen, indem Sie den folgenden RACF-Befehl absetzen:
PERMIT (optionalSAFProfilePrefix.)rolename CLASS(EJBROLE) ID(mvsid) ACCESS(READ)

Wenn die SAF-Berechtigung nicht aktiviert ist, werden die Berechtigung von WebSphere Application Server und die Administrationskonsole verwendet, um den Zugriff auf CosNaming-Funktionen zu steuern.

Informationen zur Verwendung der Berechtigung von WebSphere Application Server für die Steuerung des Zugriffs auf Benennungsrollen finden Sie unter Benutzer Benennungsrollen zuordnen.


Symbol, das den Typ des Artikels anzeigt. Konzeptartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=csec_contaccnamroles
Dateiname:csec_contaccnamroles.html