![[z/OS]](../images/ngzos.gif)
SAF-Benutzerregistrys
SAF-Benutzerregistrys werden in WebSphere Application Server for z/OS für verschiedene Zwecke eingesetzt.
- Authentifizierung mit Basisauthentifizierung, Zusicherung der Identität oder Clientzertifikaten
- Speichern von Informationen zu Benutzern und Gruppen
- Abrufen von Informationen zu Benutzern und Gruppen für die Durchführung von sicherheitsbezogenen Verwaltungsfunktionen, einschließlich der Zuordnung von Benutzern und Gruppen zu Sicherheitsrollen
- Steuerung des Zugriffs auf Ressourcen wie Dateien, Befehle und Ports
Wenn Sie eine Benutzerregistry-Implementierung des lokalen Betriebssystems oder eines anderen Typs verwenden, kann das Authentifizierungsverfahren von WebSphere Application Server for z/OS die SAF-Schnittstellen verwenden. Die SAF-Schnittstellen werden von MVS definiert und ermöglichen Anwendungen die Verwendung von Systemberechtigungsservices und Benutzerregistrys für die Steuerung des Zugriffs auf Ressourcen wie Dateien und MVS-Befehle. SAF verarbeitet Anforderungen zur Sicherheitsberechtigung entweder direkt oder arbeitet mit RACFoder anderen Sicherheitsprodukten zusammen, um die Anforderungen zu bearbeiten. Eine SAF-Benutzerregistry des lokalen Betriebssystems ist keine zentral verwaltete Benutzerregistry wie LDAP (Lightweight Directory Access Protocol), sondern eine zentral verwaltete Registry in einem Sysplex.
In WebSphere Application Server for z/OS unterstützen SAF-Benutzerregistrys Zuordnungen von digitalen Zertifikaten zu Benutzer-IDs mit dem RACF-Befehl (Resource Access Control Facility) RACDCERT. Weitere Informationen zum Befehl RACDCERT finden Sie in der "z/OS Security Server RACF Command Language Reference" für Ihre z/OS-Version in der Bibliothek "z/OS Internet Library".
Die Implementierung der Benutzerregistry (SAF-Benutzerregistry) vom Typ "localOS" in WebSphere Application Server for z/OS legt den Realmnamen der Registry aus dem Profil SAFDFLT in der Klasse REALM fest, unabhängig davon, ob die Klasse REALM aktiv oder inaktiv ist. Dieser Realmnamen wird als Eigenschaft APPLDATA im Profil SAFDFLT angegeben. Wenn der Realmname nicht aus dem Sicherheitsprodukt des Betriebssystems (z. B. RACF) abgerufen werden kann, wird der Wert der Eigenschaft protocol_iiop_daemon_listenIPAddress als Realmname verwendet. Beispielsweise wird der Wert der Eigenschaft "protocol_iiop_daemon_listenIPAddress" verwendet, wenn das Profil SAFDFLT oder die Eigenschaft APPLDATA nicht definiert ist.


Allgemeine Informationen zur Auswahl von Benutzerregistrys finden Sie im Artikel Registry oder Repository auswählen.