![[z/OS]](../images/ngzos.gif)
Übersicht über die Steuerelemente
Jeder Controller, Servant und Client muss seine eigene MVS-Benutzer-ID besitzen. Wenn eine Anforderung von einem Client an den Cluster bzw. von einem Cluster an einen anderen Cluster gesendet wird, gibt WebSphere Application Server for z/OS die Benutzeridentität (Client oder Cluster) mit der Anforderung weiter. Daher wird jede Anforderung im Auftrag der Benutzeridentität ausgeführt, und das System prüft, ob die Benutzeridentität die Berechtigung für die Ausführung der Anforderung besitzt. In den Tabellen in diesem Abschnitt sind die SAF- und Nicht-SAF-Berechtigungen (System Authorization Facility) umrissen.
Zusammenfassung der z/OS-Sicherheitssteuerelemente unabhängig von der Einstellung für die Verwaltungssicherheit
- Deployment Manager
- Node Agents
- Location Service Daemons (LSDs)
- WebSphere Application Server
Jeder Controller und Servant muss unter einer gültigen MVS-Benutzer-ID ausgeführt werden, die als Teil der Definition einer gestarteten Task zugeordnet ist. Diese MVS-Benutzer-ID muss eine gültige UNIX Systems Services UID (User ID, Benutzer-ID) besitzen. Außerdem muss sie mit der WebSphere-Konfigurationsgruppe, die von allen Servern in der Zelle, die eine gültige MVS- und UNIX Systems Services GID (Group ID, Gruppen-ID) besitzen, verbunden sein.
Steuerung | Berechtigung |
---|---|
DATASET-Klasse | Zugriff auf Datensätze |
DSNR-Klasse | Zugriff auf Database 2 (DB2) |
FACILITY-Klasse (BPX.WLMSERVER) | Zugriff auf das Profil BPX.WLMSERVER für die Verwaltung der WLM-Enklave im Servant. Ohne diesen Zugriff wird die Klassifikation nicht durchgeführt. |
FACILITY-Klasse (IMSXCF.OTMACI) | Zugriff auf Open Transaction Manager Access (OTMA) für Information Management System (IMS) und Zugriff auf das Profil BPX.WLMSERVER. |
Berechtigungen für HFS-Dateien | Zugriff auf HFS-Dateien (Hierarchical File System, hierarchisches Dateisystem) |
LOGSTRM-Klasse | Zugriff auf Protokolldatenströme |
OPERCMDS-Klasse | Zugriff auf das Shell-Script startServer.sh und Integral JMSProvider |
SERVER-Klasse | Zugriff auf einen Controller durch einen Servant |
STARTED-Klasse | Benutzer-ID (und optional Gruppen-ID) zuordnen, um die Prozedur zu starten |
SURROGAT-Klasse (*.DFHEXCI) | Zugriff auf EXCI für Customer Information Control System (CICS) |
WebSphere z/OS Profile Management Tool bzw. der Befehl zpmt und die RACF-Anpassungsjobs (Resource Access Control Facility) dienen zur Definition der Werte für die anfänglichen Servereinstellungen für die *'ed-Profile.
- Connectortyp
- Einstellung für die Ressourcenauthentifizierung (resAuth) der implementierten Anwendung
- Verfügbarkeit eines Aliasnamens
- Sicherheitseinstellung
- Zugriff auf OTMA für IMS über die FACILITY-Klasse (IMSXCF.OTMACI)
- Zugriff auf EXCI für CICS über die SURROGAT-Klasse (*.DFHEXCI)
- Steuerung des Zugriffs auf Datensätze über die DATASET-Klasse und HFS-Dateien mit Dateiberechtigung
Beachten Sie, dass die MVS-SAF-Berechtigung für alle anderen MVS-Subsystemressourcen, auf die von J2EE-Anwendungen zugegriffen wird, normalerweise von der MVS-Benutzer-ID des Servant durchgeführt wird. Weitere Informationen hierzu finden Sie im Artikel Java-EE-Identität und Betriebssystemthreadidentität.
Das Profil BPX.WLMSERVER in der FACILITY-Klasse wird verwendet, um einem Adressbereich die Berechtigung zu erteilen, die LE-Laufzeitservices (Language Environment) zu verwenden. Diese bilden eine Schnittstelle mit WLM und können verwendet werden, um die Auslastung in einer Serverregion zu überwachen. Diese LE-Laufzeitservices werden von WebSphere Application Server verwendet, um Klassifikationsdaten aus Enklaven zu extrahieren und die Zuordnung von Aufgaben zu einer Enklave zu verwalten. Da WLM-Enklaven für Aufgaben in der Serverregion, die nicht von einem Controller an einen Servant weitergegeben wurden, von unberechtigten Schnittstellen bearbeitet werden, sollten Servants von WebSphere Application Server die Leseberechtigung (Read) für dieses Profil haben. Ohne diese Berechtigung schlagen Versuche, eine WLM-Enklave zu erstellen, löschen, verknüpfen oder verlassen mit einer java.lang.SecurityException fehl.
Zusammenfassung der z/OS-Sicherheitssteuerelemente, wenn die Verwaltungssicherheit und die Anwendungssicherheit aktiviert sind
Wenn die Verwaltungssicherheit und die Anwendungssicherheit aktiviert sind, muss SSL für die Verschlüsselung und den Nachrichtenschutz verfügbar sein. Außerdem sind die Authentifizierung und Berechtigung von J2EE- und Verwaltungsclients aktiviert.
Die Berechtigung für die FACILITY-Klasse, die für SSL-Services benötigt wird, und die Definition von SAF-Schlüsselringen sind bei aktivierter Verwaltungssicherheit erforderlich.
Wenn eine Anforderung von einem Client an WebSphere Application Server bzw. von einem Cluster an einen anderen Cluster gesendet wird, gibt WebSphere Application Server for z/OS die Benutzeridentität (Client oder Cluster) mit der Anforderung weiter. Daher wird jede Anforderung im Auftrag der Benutzeridentität ausgeführt, und das System prüft, ob die Benutzeridentität die Berechtigung für die Ausführung der Anforderung besitzt. In den Tabellen in diesem Abschnitt werden z/OS-spezifische Berechtigungen mit SAF umrissen.
Steuerung | Berechtigung |
---|---|
CBIND-Klasse | Zugriff auf einen Cluster |
EJBROLE- oder GEJBROLE-Klasse | Zugriff auf Methoden in Enterprise-Beans |
FACILITY-Klasse (IRR.DIGTCERT.LIST und IRR.DIGTCERT.LISTRING) | SSL-Schlüsselringe, Zertifikate und Zuordnungen |
FACILITY-Klasse (IRR.RUSERMAP) | Kerberos-Berechtigungsnachweise |
FACILITY-Klasse (BBO.SYNC) | Aktiviert SynchToOSThread zulässig |
FACILITY-Klasse (BBO.TRUSTEDAPPS) | Aktiviert anerkannte Anwendungen |
SURROGAT-Klasse (BBO.SYNC) | Aktiviert SynchToOSThread zulässig |
PTKTDATA-Klasse | PassTicket-Aktivierung im Systemkomplex |
Betriebssystemthreadidentität auf RunAs-Identität setzen | J2EE-Clustereigenschaft, die zur Aktivierung der Anfangsidentität für Nicht-J2EE-Ressourcen verwendet wird. |