![[z/OS]](../images/ngzos.gif)
Unterstützung optimierter lokaler Adapter für eingehende Anforderungen sichern
Verwenden Sie diese Task, wenn Sie die Sicherheit für Ihre optimierten lokalen Adapterverbindungen konfigurieren möchten, die eingehende Aufrufe durchführen.
Vorbereitende Schritte
Führen Sie die Server von WebSphere Application Server for z/OS mit globaler Sicherheit aus, und aktivieren Sie die Option für die Synchronisation mit dem Betriebssystemthread, wenn Sie die APIs für optimierte lokale Adapter mit diesen Servern verwenden möchten. Weitere Informationen zur globalen Sicherheit finden Sie im Artikel "Sicherheit aktivieren". Weitere Informationen zum Aktivieren der Option für die Synchronisation mit dem Betriebssystemthread finden Sie im Artikel zu den z/OS-Sicherheitsoptionen.
Der lokale Zugriff auf die Server von WebSphere Application Server for z/OS wird mit der SAF-Kasse (System Authorization Facility) CBIND gesichert. Diese Klasse wird während der Profilerstellung definiert und verwendet, um die Server von WebSphere Application Server for z/OS zu sichern, wenn lokale IIOP-Clientverbindungsanforderungen (Internet Inter-ORB Protocol) und Anforderungen von optimierten lokalen Adaptern abgesetzt werden. Vor der Ausführung einer Anwendung, die die API "Registrieren" verwendet, müssen Sie der Benutzer-ID für den Job, dem USS-Prozess (UNIX System Services) bzw. der CICS-Region (Customer Information Control System) Lesezugriff auf die Klasse CBIND für den Zielserver erteilen. Diese Konfiguration erfolgt über den Job BBOCBRAK. Weitere Informationen zur Klasse CBIND finden Sie im Artikel "CBIND für die Steuerung des Zugriffs auf Cluster verwenden".
Alle eingehenden Anforderungen für WebSphere Application Server werden unter der Berechtigung des aktuellen Benutzers im Thread ausgeführt. Diese Identität wird automatisch weitergegeben und im EJB-Container zugesichert, und es ist die Identität, unter der die Anwendung gestartet wird. Eingehende Anforderungen für eine Ziel-Enterprise-Bean kommen auf dieselbe Weise an wie Methodenaufrufe für lokale IIOP-Anforderungen, und die Sicherheitsoptionen für RunAs-Vorgänge auf dieselbe Weise wie lokale IIOP-Anforderungen.
Für die Übergabe von Anforderungen an WebSphere Application Server über CICS können Sie angeben, dass die Identität der aktuellen CICS-Anwendung verwendet werden soll, indem Sie ein entsprechendes Flag im Aufruf der API "Registrieren" angeben.
Informationen zu diesem Vorgang
Vorgehensweise
Setzen Sie die Umgebungsvariable, um die Verwendung von CICS-Anwendungsidentitäten beim Absetzen der Registrierungsanforderung zuzulassen. Die Variable kann wie folgt über die Administrationskonsole gesetzt werden:
- Klicken Sie auf Umgebung > WebSphere-Variablen.
- Wählen Sie unter Geltungsbereich in der Dropdown-Liste "Geltungsbereichsauswahl anzeigen" die Option "Zelle" aus. Wenn die Umgebungsvariable "ola_cicsuser_identity_propagate" in der Ressourcenliste angezeigt wird, müssen Sie sie nicht erneut hinzufügen. Sie können mit Schritt c fortfahren. Falls Sie die Variable der Ressourcenliste noch nicht hinzugefügt haben, müssen Sie auf Hinzufügen klicken. Die Umgebungsvariable "ola_cicsuser_identity_propagate" muss der Anzeigeliste hinzugefügt werden, wenn die Task zum ersten Mal ausgeführt wird. Anschließend können Sie "ola_cicsuser_identity_propagate" in der Anzeigeliste auswählen, nachdem Sie den Geltungsbereich festgelegt haben.
- Klicken Sie auf "ola_cicsuser_identity_propagate". Es erscheint ein Fenster mit den allgemeinen Eigenschaften, in dem Sie die Variable konfigurieren können.
- Setzen Sie die Umgebungsvariable von WebSphere Application Server auf 1. Wenn Sie die Umgebungsvariable auf 0 (null) setzen oder nicht definieren, wird die Sicherheit auf CICS-Anwendungsebene in eingehenden Aufrufen an WebSphere Application Server nicht berücksichtigt.
- Klicken Sie auf Anwenden und OK.