![[z/OS]](../images/ngzos.gif)
Registry-Principal mit einem JAAS-Anmeldemodul einer SAF-Benutzer-ID zuordnen
Sie können ein JAAS-Anmeldemodul (Java™ Authentication and Authorization Services) verwenden, um der SAF-Benutzer-ID (System Authorization Facility) einen Registry-Principal zuzuordnen.
- Ein Plug-in-Anmeldemodul kann während der Anmeldung in der gemeinsam genutzten Maske klar strukturierte z/OS-Attribute setzen.
- WebSphere Application Server stellt das Beispielzuordnungsmodul com.ibm.websphere.security.SampleSAFMappingModule bereit. Dieses Modul setzt die z/OS-Attribute, die im gemeinsam genutzten Status definiert sind. In der Liste der Anmeldemodule muss dieses Modul vor dem Zuordnungsmodul com.ibm.ws.security.common.auth.module.MapPlatformSubject erscheinen.
Die folgende Gruppe klar strukturierter Attribute, die in WAS-Zuordnungen verwendet werden, ist in der Klasse com.ibm.wsspi.security.token.AttributeNameConstants in der Datei sas.jar definiert:
com.ibm.wsspi.security.token.AttributeNameConstants.ZOS_USERID
Verwenden Sie dieses Attribut, um den Wert der MVS-Benutzer-ID zu setzen, wenn eine Operation ausgeführt wird, die eine z/OS-SAF-Benutzer-ID erfordert. Wenn kein Wert angegeben wird, verwendet WebSphere Application Server den nicht authentifizierten Benutzer, um eine SAF-Benutzer-ID zu erstellen. Diese SAF-Benutzer-ID muss eine gültige MVS-Benutzer-ID sein.
com.ibm.wsspi.security.token.AttributeNameConstants.ZOS_AUDIT_STRING
Mit diesem Attribut können Sie angeben, dass die angegebene Zeichenfolge beim Erstellen eines RACF-ACEE (Resource Access Control Facility Access Control Environment Element) in die Eigenschaft X500Name gestellt wird.
- EJBROLE-Berechtigungsprüfung
- Eine Zugriffsprüfung für eine Anwendung, die unter der Betriebssystem-ID ausgeführt wird und mit der J2EE-ID (Java 2, Enterprise Edition) synchronisiert ist. Weitere Informationen finden Sie im Artikel Java-Thread-Identität und Betriebssystemthreadidentität.
com.ibm.wsspi.security.token.AttributeName.Constants.CALLER_PRINCIPAL_CLASS
Verwenden Sie dieses optionale Feld, um anzugeben, welche Principal-Klasse in einem JAAS-Subjekt zurückgegeben wird, wenn die APIs getCallerPrincipal und getUserPrincipal verwendet werden.
- Laufzeit von WebSphere Application Server
- JAAS-Anmeldemodul
Der Standardwert für dieses Feld ist com.ibm.websphere.security.auth.WSPrincipal. Bei Verwendung dieses Standardwertes wird der in der Registry von WebSphere Application Server konfigurierte Name des WebSphere Application Server-Principals zurückgegeben.
Wenn Sie einen zugeordneten SAF-Principal zurückgeben möchten, geben Sie com.ibm.ws.security.zos.Principal an. Wenn ein Wert angegeben ist, aber kein Principal mit dem angegebenen CALLER_PRINCIPAL_CLASS-Wert übereinstimmt, enthält der Rückgabewert einen nicht authentifizierten Benutzer. Bei Angabe von getUserInRole wird ein Nullwert zurückgegeben und bei Angabe von getCallerPrincipal() wird eine Zeichenfolge zurückgegeben, die angibt, dass der Benutzer nicht authentifiziert ist.
- Serveridentität
- Diese Identität wird vom Profil STARTED immer der Benutzer-ID des Prozesses zugeordnet.
- SAF-Identität des nicht authentifizierten Benutzers
- Die SAF-Identität des nicht authentifizierten Benutzers bedeutet, dass es keine Netzidentität gibt. Dieser Wert wird mit WebSphere z/OS Profile Management Tool oder mit dem Befehl zpmt konfiguriert und kann über die Administrationskonsole geändert werden. Sie sollten die SAF-Identität für nicht authentifizierte Benutzer mit dem Attribut RESTRICTED erstellen.