[z/OS]

RunAs-Identität des Verbindungsmanagers und Systemsicherheit

WebSphere Application Server enthält Connector-Konfigurationen, die die Sicherheit für den Betriebssystemthread verwenden. Wenn Sie die Verbindungsmanagerunterstützung für die Synchronisation mit dem Betriebssystemthread aktivieren, kann die Java™ EE-Identität (z. B. die RunAs-Identität) verwendet werden, um die EIS-Verbindung für Connector-Konfigurationen anzufordern, die die Sicherheit für den Betriebssystemthread verwenden.

Sicherheit für Betriebssystemthread: In bestimmten Konfigurationen des JCA- (Java EE Connector Architecture), JMS- (Java Message Service) und JDBC-Connector (Java Database Connectivity) in WebSphere Application Server for z/OS ist die Betriebssystemthreadidentität die Identität, die zum Erstellen der EIS-Verbindung (Enterprise Information Systems) verwendet wird. Weitere Informationen zu den Konfigurationen, die die Betriebssystemthreadsicherheit unterstützen, finden Sie im Artikel über Verbindungsthreads.

Sie können die Verbindungsmanagerunterstützung für die Synchronisation mit dem Betriebssystemthread aktivieren, indem Sie die Option RunAs-Threadidentität des Verbindungsmanagers aktivieren auswählen, die Sie sehen, wenn Sie auf Sicherheit > Globale Sicherheit > Optionen für z/OS-Sicherheit klicken. Falls Sie auf derselben Seite der Administrationskonsole die Option Synchronisation von WebSphere Application Server- und z/OS-Thread-IDs aktivieren nicht auswählen, wird die Verbindung zu einem Ressourcenmanager in einer Connector-Konfiguration, die mit Sicherheit für den Betriebssystemthread arbeitet, mit der Serveridentität (in diesem Fall die Standardeinstellung) abgerufen. Weitere Informationen finden Sie im Artikel zu den Optionen für die z/OS-Sicherheit.

Der WebSphere-Verbindungsmanager führt die Funktionen aus, die sich auf die Sicherheit für den Betriebssystemthread beziehen. Der Verbindungsmanager synchronisiert die Identität des Betriebssystemthreads mit der Identität des Java-Threads (die Identität des Java-Threads entspricht der Java-EE-Identität), bevor er die EIS-Verbindung abruft. Weitere Informationen finden Sie im Artikel zur Java-Threadidentität und zur Betriebssystemthreadidentität. Nachdem der Verbindungsmanager die Synchronisation durchgeführt hat, wird die Betriebssystemthreadidentität vorübergehend durch die Java-Threadidentität ersetzt. Mit dieser Java-Threadidentität wird die EIS-Verbindung abgerufen. Die Verbindungsmanagerunterstützung für die Synchronisation mit dem Betriebssystemthread ist also eine Möglichkeit, eine EIS-Verbindung mit der Java-Threadidentität (z. B. der RunAs-Identität) abzurufen. Sobald die Verbindung aufgebaut ist, stellt der Verbindungsmanager die Betriebssystemthreadidentität wieder her.

Anmerkung:
  • Mit der Einstellung der Option für zulässige Synchronisation mit dem Betriebssystemthread (SyncToOSThread) der Anwendung kann nicht bestimmt werden, welche Identität in einer Connector-Konfiguration, die die Betriebssystemthreadsicherheit unterstützt, verwendet wird, um eine Verbindung herzustellen. Der Artikel "Unterstützung für Threadidentität verwenden" beschreibt, welche Identität zum Herstellen einer Verbindung verwendet wird, in der die Konfiguration von der Unterstützung der Anwendung für die Synchronisation mit dem Betriebssystemthread unberührt bleibt. Für Connector-Konfigurationen, die die Sicherheit für den Betriebssystemthread verwenden (aber in denen die Verbindungsmanagerunterstützung für die Synchronisation mit dem Betriebssystem-OS inaktiviert ist), wird unabhängig von der Einstellung der Option für zulässige Synchronisation mit Betriebssystemthread (SyncToOSThread) oder der aktuellen RunAs-Identität der Anwendung die Serveridentität verwendet, um die Verbindung herzustellen.
  • Die Verbindungsmanagerunterstützung für die Synchronisation mit dem Betriebssystemthread gilt nur für das Abrufen von EIS-Verbindungen, die von der Verbindungsverwaltung von WebSphere verwaltet werden. Die Verbindungsmanagerunterstützung für die Synchronisation mit dem Betriebssystemthread kann sich beispielsweise auf JDBC-Verbindungen (Java Database Connectivity) beziehen, die von Anwendungsanforderungen an DataSource-Objekte abgerufen werden, die mit der Administrationskonsole von WebSphere Application Server konfiguriert und anschließend in JNDI (Java Naming and Directory Interface) gesucht wurden. (Dies wäre davon abhängig, ob eine bestimmte DataSource-Instanz unter einem bestimmten JDBC-Provider die Sicherheit für den Betriebssystemthread verwendet oder nicht.) Die Verbindungsmanagerunterstützung für die Synchronisation mit dem Betriebssystemthread bezieht sich jedoch nicht auf JDBC-Verbindungen, die mit der nicht verwalteten API DriverManager.getConnection(...) abgerufen werden. Die Einstellung der Anwendung für "Synchronisation mit dem Betriebssystemthread zulässig" kann sich jedoch auf den Zugriff auf solche nicht verwalteten Ressourcen auswirken, für die die Berechtigung anhand der Betriebssystemthreadidentität durchgeführt wird.
  • Die Verbindungsmanagerunterstützung für die Synchronisation mit dem Betriebssystemthread kann für Verbindungsanforderungen verwendet werden, die von benutzerdefiniertem Code (wie JMS- oder JDBC-Aufrufen von Stateless-Session-Beans), von bestimmten Komponenten von WebSphere Application Server (wie dem MDB-Listener) oder von Code abgesetzt werden, der von Tools generiert wird (z. B. CMP-Beans).
  • Einige (aber nicht alle) Connector-Konfigurationen, die die Java EE-Identität verwenden, verwenden auch die Sicherheit für den Betriebssystemthread. Connector-Konfigurationen wie Customer Information Control System (CICS) CTG Connector im lokalen Modus lassen die Verwendung der Java EE-Identität mit anderen Verbindungsmanagerverfahren für die Erstellung der EIS-Verbindung zu. Diese Konfiguration verwendet keine Sicherheit für den Betriebssystemthread.

Nähere Einzelheiten zu Connector-Konfigurationen, die die Sicherheit für Betriebssystemthreads verwenden, finden Sie im Artikel "Identität des Verbindungsthreads". Sie können auch den Artikel "Unterstützung für Threadidentität verwenden" lesen.

Im Artikel "Java-EE-Identität und Betriebssystemthreadidentität" finden Sie weitere Informationen zu den Identitäten.


Symbol, das den Typ des Artikels anzeigt. Konzeptartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=csec_understandconnectmgrsync
Dateiname:csec_understandconnectmgrsync.html