[z/OS]

z/OS-Sicherheitsoptionen

Verwenden Sie diese Seite, um zu bestimmen, welche Optionen für die globale Sicherheit für den Anwendungsserver unter z/OS angegeben werden sollen.

Zum Anzeigen dieser Seite der Administrationskonsole klicken Sie auf Sicherheit > Globale Sicherheit > z/OS-Sicherheitsoptionen.

Sie können diese Seite der Administrationskonsole auch anzeigen, indem Sie die folgenden Schritte ausführen:
  1. Klicken Sie auf Server > Servertypen > WebSphere-Anwendungsserver > Servername.
  2. Klicken Sie unter "Sicherheit" auf Serverdomäne.
  3. Klicken Sie auf z/OS-Sicherheitsoptionen.

Wenn Sie die Sicherheit zum ersten Mal konfigurieren, führen Sie die im Artikel "Globale Sicherheit" beschriebenen Schritte aus, bevor Sie Änderungen vornehmen. Nachdem Sie die Sicherheit konfiguriert haben, validieren Sie alle Änderungen, die Sie in den Anzeigen "Benutzerregistry" und "Authentifizierungsverfahren" vorgenommen haben. Klicken Sie auf Anwenden, um die Einstellungen für die Benutzerregistry zu ändern. Es wird versucht, die Server-ID für die konfigurierte Benutzerregistry zu authentifizieren. Wenn Sie die Einstellungen der Benutzerregistry nach der Aktivierung der globalen Sicherheitseinrichtung überprüfen, können Sie die Anzahl potenzieller Fehler reduzieren, wenn Sie den Server zum ersten Mal erneut starten.

Ferne Identität

Gibt die SAF-Benutzer-ID an, die für IIOP-Clients verwendet wird, die ohne Authentifizierung bei diesem Server Informationen von einem anderen System anfordern.

Gibt an, ob anwendungsferne Identitäten zugelassen werden.

Anmerkung: Diese Informationen gelten nur für Version 6.0.x und frühere Server, die in eine Zelle der Version 6.1 eingebunden sind.

Lokale Identität

Gibt die SAF-Benutzer-ID an, die für IIOP-Clients verwendet wird, die ohne Authentifizierung bei diesem Server Informationen vom selben System anfordern.

Gibt an, ob anwendungslokale Identitäten zugelassen werden.

Anmerkung: Diese Informationen gelten nur für Version 6.0.x und frühere Server, die in eine Zelle der Version 6.1 eingebunden sind.

Synchronisation von Anwendungsserver und z/OS-Thread-ID aktivieren

Gibt an, dass Anwendungsserver die Option "SyncToOSThread" für Anwendungskomponenten verarbeiten können, die diese Option angeben.

Die Auswahl dieser Option gibt an, ob eine aktivierte Betriebssystemthreadidentität mit der in der Laufzeitumgebung des Anwendungsservers verwendeten Java EE-Identität synchronisiert werden soll, falls eine Anwendung Code zum Anfordern dieser Funktion enthält.

Die Synchronisation der Betriebssystem-ID mit der Java EE-ID bewirkt, dass die Betriebssystem-ID mit der authentifizierten Caller-ID oder der delegierten RunAs-ID in einem Servlet oder einer EJB-Datei synchronisiert wird. Diese Synchronisation oder Zuordnung bedeutet, dass für z/OS-Systemserviceanforderungen (z. B. für den Zugriff auf Dateien) die Caller-ID oder ID der Sicherheitsrolle und nicht die Serverbereichs-ID verwendet wird.

Wenn diese Funktion aktiviert werden soll, müssen alle nachfolgend genannten Bedingungen erfüllt sein:
  • 'SyncToOSThread' ist auf true gesetzt.
  • Eine Anwendung nimmt in ihren Implementierungsdeskriptor einen Umgebungseintrag mit der Bezeichnung "com.ibm.websphere.security.SyncToOSThread" auf, der auf true gesetzt ist.
  • Das konfigurierte Repository für Benutzeraccounts ist das lokale Betriebssystem.

Sind diese Bedingungen erfüllt, wird die Betriebssystemthreadidentität zunächst auf die authentifizierte Aufrufer-ID einer Webanforderung oder EJB-Anforderung gesetzt. Bei jeder Änderung der Java EE-ID wird auch der Betriebssystemthread modifiziert. Die Java EE-ID kann von einer RunAs-Spezifikation im Implementierungsdeskriptor oder einer programmgesteuerten Anforderung WSSubject.doAs() modifiziert werden.

Wenn SyncToOSThread auf false gesetzt ist (Standardeinstellung), kann die Einstellung für die ID des Betriebssystemthreads im Implementierungsdeskriptor der installierten Anwendung nicht geändert werden. Falls der Server nicht für die Zulässigkeit der Synchronisation konfiguriert ist und der Implementierungsdeskriptor der Anwendung com.ibm.websphere.security.SyncToOSThread auf true gesetzt ist, wird eine Warnung BBOJ0080W abgesetzt. Diese Warnung gibt an, dass die EJB SyncToOSThread anfordert, der Server jedoch nicht für SyncToOSThread konfiguriert ist.

Wichtig: Diese Option bewirkt, dass die Anzahl der SMF-80-Sätze, die für das Security Auditing verwendet werden, wesentlich erhöht wird. Wenn die Sicherheitsprüfung für SMF-80-Sätze aktiviert wird, erhöht sich die Anzahl der DASD-Einheiten erheblich.

RunAs-Threadidentität des Verbindungsmanagers aktivieren

Definiert die MVS-Identität, die der Java EE-Identität (Java Platform, Enterprise Edition) im Ausführungsthread zugeordnet ist. Lokale J2CA-Connectors (Java EE Connector Architecture) können die MVS-Identität für die Authentifizierung und Berechtigung berücksichtigen, wenn eine Anwendung eine Verbindung anfordert.

Wenn Sie diese Einstellung aktivieren, kann die Methode eine Anforderung verarbeiten, die die Betriebssystemidentität an die Java EE-Identität (Java Platform, Enterprise Edition) anpasst. Diese Funktion ist erforderlich, um die Vorteile der Thread-ID-Unterstützung nutzen zu können. J2CA-Connectors mit Zugriff auf lokale Ressourcen auf einem z/OS-System können die Unterstützung für Thread-IDs verwenden. Mehrere J2CA-Connectors, die auf lokale z/OS-Ressourcen zugreifen, verwenden standardmäßig die Java EE-Identität der Anwendung, wenn alle nachfolgend genannten Bedingungen erfüllt sind:
  • Die Ressourcenberechtigung ist containergesteuert (res-auth=container).
  • Bei der Implementierung der Anwendung ist kein Aliasname codiert.
  • Die Einstellung "SyncToOSThread" des Verbindungsmanagers ist aktiviert (enabled).

Falls Sie eine bereits vorhandene Sicherheitsrichtlinie für DB2 for z/OS haben, die steuert, welche Benutzer auf welche Tabelle zugreifen dürfen, möchten Sie diese Richtlinie möglicherweise auch anwenden, wenn Benutzer auf WebSphere-Anwendungen zugreifen, die auch auf DB2 for z/OS zugreifen. Die Java EE-Identität (standardmäßig die Clientidentität) wird anstelle der Identität des Betriebssystems (Serveridentität) verwendet, um Verbindungen zu DB2 for z/OS herzustellen, wenn die Option "RunAs-Identität des Verbindungsmanagers aktiviert" ausgewählt ist. Der Zugriff auf die Tabellen von DB2 for z/OS für die Anwendung wird über die bereits vorhandene Sicherheitsrichtlinie für DB2 for z/OS bestimmt.

Jeder J2CA-Connector, der mit Thread-IDs arbeitet, muss Unterstützung für Thread-IDs bieten. CICS (Customer Information Control System), IMS (Information Management System) und DB2 (DATABASE 2) unterstützen Thread-IDs. CICS und IMS können Thread-IDs nur unterstützen, wenn die CICS- bzw. IMS-Zielinstanz auf demselben System konfiguriert ist wie der Anwendungsserver für z/OS. Die Thread-ID wird von DB2 immer unterstützt. Falls ein Connector keine Thread-IDs unterstützt, basiert die der Verbindung zugeordnete Benutzer-ID auf der vom jeweiligen Connector unterstützten Standardbenutzer-ID.

Information Wert
Datentyp Boolean
Standardeinstellung Inaktiviert
Einstellmöglichkeiten Aktiviert oder Inaktiviert

Symbol, das den Typ des Artikels anzeigt. Referenzartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=usec_zos_globalsec
Dateiname:usec_zos_globalsec.html