[z/OS]

Unterstützung optimierter lokaler Adapter für eingehende Anforderungen sichern

Verwenden Sie diese Task, wenn Sie die Sicherheit für Ihre optimierten lokalen Adapterverbindungen konfigurieren möchten, die eingehende Aufrufe durchführen.

Vorbereitende Schritte

Führen Sie die Server von WebSphere Application Server for z/OS mit globaler Sicherheit aus, und aktivieren Sie die Option für die Synchronisation mit dem Betriebssystemthread, wenn Sie die APIs für optimierte lokale Adapter mit diesen Servern verwenden möchten. Weitere Informationen zur globalen Sicherheit finden Sie im Artikel "Sicherheit aktivieren". Weitere Informationen zum Aktivieren der Option für die Synchronisation mit dem Betriebssystemthread finden Sie im Artikel zu den z/OS-Sicherheitsoptionen.

Der lokale Zugriff auf die Server von WebSphere Application Server for z/OS wird mit der SAF-Kasse (System Authorization Facility) CBIND gesichert. Diese Klasse wird während der Profilerstellung definiert und verwendet, um die Server von WebSphere Application Server for z/OS zu sichern, wenn lokale IIOP-Clientverbindungsanforderungen (Internet Inter-ORB Protocol) und Anforderungen von optimierten lokalen Adaptern abgesetzt werden. Vor der Ausführung einer Anwendung, die die API "Registrieren" verwendet, müssen Sie der Benutzer-ID für den Job, dem USS-Prozess (UNIX System Services) bzw. der CICS-Region (Customer Information Control System) Lesezugriff auf die Klasse CBIND für den Zielserver erteilen. Diese Konfiguration erfolgt über den Job BBOCBRAK. Weitere Informationen zur Klasse CBIND finden Sie im Artikel "CBIND für die Steuerung des Zugriffs auf Cluster verwenden".

Alle eingehenden Anforderungen für WebSphere Application Server werden unter der Berechtigung des aktuellen Benutzers im Thread ausgeführt. Diese Identität wird automatisch weitergegeben und im EJB-Container zugesichert, und es ist die Identität, unter der die Anwendung gestartet wird. Eingehende Anforderungen für eine Ziel-Enterprise-Bean kommen auf dieselbe Weise an wie Methodenaufrufe für lokale IIOP-Anforderungen, und die Sicherheitsoptionen für RunAs-Vorgänge auf dieselbe Weise wie lokale IIOP-Anforderungen.

Wenn Transaktionsarbeitsvorgänge zwischen CICS und CICS and WebSphere Application Server for z/OS (eingehend oder abgehend) übergeben werden, müssen Sie spezielle Sicherheitshinweise beachten. Sie müssen beispielsweise festlegen, ob die Authentifizierung für eingehende Arbeit in WebSphere Application Server mit der Berechtigung der jeweiligen CICS-Anwendung oder mit der Berechtigung der gesamten CICS-Region durchgeführt werden soll. Ähnliche Aspekte sind zu beachten, wenn WebSphere Application Server abgehende Arbeitsvorgänge an eine CICS-Anwendung sendet. Sie müssen bestimmen, ob CICS die Berechtigung der sendenden Anwendung oder sein eigenes aktuelles CICS-Sicherheitsprofil berücksichtigen soll.
Achtung: Sie müssen sicherstellen, dass die Clientanwendungen authentifiziert werden, damit CICS die Anforderung verarbeiten kann.

Für die Übergabe von Anforderungen an WebSphere Application Server über CICS können Sie angeben, dass die Identität der aktuellen CICS-Anwendung verwendet werden soll, indem Sie ein entsprechendes Flag im Aufruf der API "Registrieren" angeben.

Informationen zu diesem Vorgang

Die folgenden Schritte enthalten die Tasks, die Sie ausführen müssen, um die optimierten lokalen Adapter für einen eingehenden Aufruf zu sichern:

Vorgehensweise

Sicherheitseinstellungen konfigurieren. Der Weitergabetyp für die Sicherheitsidentität wird in den Registrierungs-Flags im Aufruf von BBOA1REG angegeben, wenn die Verbindungsanforderung für die optimierten lokalen Adapter abgesetzt wird. Sie können die CICS-Region oder das Anwendungssicherheitsprofil auswählen.
Achtung: Damit dies ordnungsgemäß funktioniert, müssen Sie die Sicherheit auf CICS-Anwendungsebene mit der CICS-Startoption "SEC=YES" aktiviert haben.
Der CICS-Anwendungsbenutzer kann nur dann im Thread von WebSphere Application Server weitergegeben und zugesichert werden, wenn die Umgebungsvariable "ola_cicsuser_identity_propagate" auf 1 gesetzt ist. Damit kann das Verhalten vom WebSphere Application Server-Systemprogrammierer verwaltet werden. Wenn diese Option auf 0 (die Standardeinstellung) gesetzt ist und die API "Registrieren" CICS-Anwendungen aufruft, die die Weitergabe auf Anwendungsebene auswählen, tritt ein Fehler auf. Weitere Informationen zu dieser Umgebungsvariablen finden Sie im Artikel "Umgebungsvariablen für optimierte lokale Adapter".

Setzen Sie die Umgebungsvariable, um die Verwendung von CICS-Anwendungsidentitäten beim Absetzen der Registrierungsanforderung zuzulassen. Die Variable kann wie folgt über die Administrationskonsole gesetzt werden:

  1. Klicken Sie auf Umgebung > WebSphere-Variablen.
  2. Wählen Sie unter Geltungsbereich in der Dropdown-Liste "Geltungsbereichsauswahl anzeigen" die Option "Zelle" aus. Wenn die Umgebungsvariable "ola_cicsuser_identity_propagate" in der Ressourcenliste angezeigt wird, müssen Sie sie nicht erneut hinzufügen. Sie können mit Schritt c fortfahren. Falls Sie die Variable der Ressourcenliste noch nicht hinzugefügt haben, müssen Sie auf Hinzufügen klicken. Die Umgebungsvariable "ola_cicsuser_identity_propagate" muss der Anzeigeliste hinzugefügt werden, wenn die Task zum ersten Mal ausgeführt wird. Anschließend können Sie "ola_cicsuser_identity_propagate" in der Anzeigeliste auswählen, nachdem Sie den Geltungsbereich festgelegt haben.
  3. Klicken Sie auf "ola_cicsuser_identity_propagate". Es erscheint ein Fenster mit den allgemeinen Eigenschaften, in dem Sie die Variable konfigurieren können.
  4. Setzen Sie die Umgebungsvariable von WebSphere Application Server auf 1. Wenn Sie die Umgebungsvariable auf 0 (null) setzen oder nicht definieren, wird die Sicherheit auf CICS-Anwendungsebene in eingehenden Aufrufen an WebSphere Application Server nicht berücksichtigt.
  5. Klicken Sie auf Anwenden und OK.

Ergebnisse

Sie haben die Sicherheit für eingehende Verbindungen für optimierte lokale Adapter konfiguriert.

Nächste Schritte

Weitere Informationen zur Verwendung der Sicherheit mit IMS finden Sie im Artikel "Sicherheitshinweise für die Verwendung optimierter lokaler Adapter mit IMS".

Symbol, das den Typ des Artikels anzeigt. Taskartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tdat_security_in
Dateiname:tdat_security_in.html