[z/OS]

Sichere Anwendungen aktivieren

Aus der z/OS-Perspektive impliziert der Begriff "sichere Anwendungen", dass die Steuerung für gestartete Tasks (STC, Started Task Control) in WebSphere Application Server als "sichere Anwendung" eingestuft wird und die SAF-Identität (System Authorization Facility) im Ausführungsthread ändern darf. Wenn eine z/OS-Anwendung (z. B. WebSphere Application Server) anerkannt ist, lässt die Sicherheitsinfrastruktur unter Beibehaltung der Integrität des MVS-Systems die Erstellung von MVS-Berechtigungsnachweisen ohne Kennwort, Passticket oder Zertifikat als Authentifikator zu.

Aufgrund der Verwendung der Klasse FACILITY und des Klassenprofils BBO.TRUSTEDAPPS sind generell sichere Anwendungen erforderlich, wenn SAF als Benutzerregistry des Typs "LocalOS" verwendet wird oder wenn Sie mit der SAF-Berechtigung arbeiten möchten. Wenn in WebSphere Application Server die Verwendung der SAF-Sicherheit für eine Benutzerregistry des lokalen Betriebssystems, der SAF-Berechtigung oder der Option "Synchronisation mit Thread zulässig" konfiguriert ist, müssen sichere Anwendungen aktiviert werden, sodass die Integrität des MVS-Systems gewährleistet bleibt. Sichere Anwendungen entsprechen den MVS-Integritätsregeln, d. h., nicht berechtigte Aufrufende dürfen keinen sensiblen Code von WebSphere Application Server aufrufen, um berechtigte Funktionen auszuführen. Wenn Sie SAF verwenden, müssen Sie die sichere Anwendung in Resource Access Control Facility (RACF) oder einem äquivalenten Produkt definieren. Die Regeln für SAF-Berechtigungsressourcen müssen WebSphere Application Server als sichere Anwendung mit der Berechtigung zum Ändern der ID im Ausführungsthread definieren. Auf diese Weise können WebSphere Application Server und MVS zusammenarbeiten, ohne die Integrität des jeweils anderen Produkts zu gefährden.

FACILITY-Klassenprofile verwenden

Sie aktivieren die gesicherten Anwendungen, indem Sie sicherstellen, dass WebSphere Application Server Server den SAF-Zugriff READ auf die RACF-Klasse FACILITY und das Profil BBO.TRUSTEDAPPS.<Kurzname_der_Zelle>.<Kurzname_des_Clusters> hat.

Nach der Definition müssen die sicheren Anwendungen aktiviert werden. Sie verwenden das FACILITY-Klassenprofil, um dem RACF-Administrator die Steuerung für die Aktivierung sicherer Anwendungen zu übertragen. Die folgenden Beispiele veranschaulichen, wie Sie diese Steuerung mit der Klasse FACILITY und dem Klassenprofil BBO.TRUSTEDAPPS übertragen.
  • Generisches Beispiel:
    RDEF FACILITY BBO.TRUSTEDAPPS.**UACC(NONE)
    PERMIT BBO.TRUSTEDAPPS.** CLASS(FACILITY) ID(MYCBGROUP) ACC(READ)
    SETROPTS RACLIST(FACILITY) REFRESH
  • Spezifisches Beispiel mit einem bestimmen Server, der den Zellenkurznamen SY1, den Clusterkurznamen BBOC001 und die Benutzer-ID MYSTCCR für die Controllerregion hat.
    RDEF FACILITY BBO.TRUSTEDAPPS.SY1.BBOC0001 UACC NONE
    PERMIT BBO.TRUSTEDAPPS.SY1.BBOC0001 CLASS(FACILITY) ID(MYSTCCR) ACC(READ)
    SETROPTS RACLIST(FACILITY) REFRESH

Symbol, das den Typ des Artikels anzeigt. Konzeptartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rsec_trusted_apps
Dateiname:rsec_trusted_apps.html