[z/OS]

Registry-Principal mit einem JAAS-Anmeldemodul einer SAF-Benutzer-ID zuordnen

Sie können ein JAAS-Anmeldemodul (Java™ Authentication and Authorization Services) verwenden, um der SAF-Benutzer-ID (System Authorization Facility) einen Registry-Principal zuzuordnen.

Anmerkung: Wenn Sie die verteilte SAF-Identitätszuordnung verwenden möchten, ist es nicht erforderlich, ein Zuordnungsmodul zu konfigurieren.

Die folgende Gruppe klar strukturierter Attribute, die in WAS-Zuordnungen verwendet werden, ist in der Klasse com.ibm.wsspi.security.token.AttributeNameConstants in der Datei sas.jar definiert:

com.ibm.wsspi.security.token.AttributeNameConstants.ZOS_USERID

Verwenden Sie dieses Attribut, um den Wert der MVS-Benutzer-ID zu setzen, wenn eine Operation ausgeführt wird, die eine z/OS-SAF-Benutzer-ID erfordert. Wenn kein Wert angegeben wird, verwendet WebSphere Application Server den nicht authentifizierten Benutzer, um eine SAF-Benutzer-ID zu erstellen. Diese SAF-Benutzer-ID muss eine gültige MVS-Benutzer-ID sein.

com.ibm.wsspi.security.token.AttributeNameConstants.ZOS_AUDIT_STRING

Mit diesem Attribut können Sie angeben, dass die angegebene Zeichenfolge beim Erstellen eines RACF-ACEE (Resource Access Control Facility Access Control Environment Element) in die Eigenschaft X500Name gestellt wird.

Dieses Attribut ordnet eine Prüfzeichenfolge einem SAF-Benutzer zu, die in einem SAF-Satz angezeigt wird, wenn eine der folgenden Aktionen ausgeführt wird:
  • EJBROLE-Berechtigungsprüfung
  • Eine Zugriffsprüfung für eine Anwendung, die unter der Betriebssystem-ID ausgeführt wird und mit der J2EE-ID (Java 2, Enterprise Edition) synchronisiert ist. Weitere Informationen finden Sie im Artikel Java-Thread-Identität und Betriebssystemthreadidentität.
In diesem Feld können Sie maximal 223 Zeichen eingeben. Enthält der angegebene Wert mehr als 223 Zeichen, werden nur die ersten 223 Zeichen verwendet. Wenn dieser Wert weggelassen wird, werden keine Prüfdaten beim Erstellen eines Principal hinzugefügt. Alle in diesem Feld erfassten Prüfdaten werden innerhalb der SMF-Prüfsatzzeichenfolge "WebSphere Mapped Userid" mit einem Präfix versehen.

com.ibm.wsspi.security.token.AttributeName.Constants.CALLER_PRINCIPAL_CLASS

Verwenden Sie dieses optionale Feld, um anzugeben, welche Principal-Klasse in einem JAAS-Subjekt zurückgegeben wird, wenn die APIs getCallerPrincipal und getUserPrincipal verwendet werden.

Dieser Principal kann mit einem der folgenden Mechanismen erstellt werden:
  • Laufzeit von WebSphere Application Server
  • JAAS-Anmeldemodul

Der Standardwert für dieses Feld ist com.ibm.websphere.security.auth.WSPrincipal. Bei Verwendung dieses Standardwertes wird der in der Registry von WebSphere Application Server konfigurierte Name des WebSphere Application Server-Principals zurückgegeben.

Wenn Sie einen zugeordneten SAF-Principal zurückgeben möchten, geben Sie com.ibm.ws.security.zos.Principal an. Wenn ein Wert angegeben ist, aber kein Principal mit dem angegebenen CALLER_PRINCIPAL_CLASS-Wert übereinstimmt, enthält der Rückgabewert einen nicht authentifizierten Benutzer. Bei Angabe von getUserInRole wird ein Nullwert zurückgegeben und bei Angabe von getCallerPrincipal() wird eine Zeichenfolge zurückgegeben, die angibt, dass der Benutzer nicht authentifiziert ist.

Anmerkung: Einige Netzidentitäten werden von dem bereitgestellten Zuordnungsmodul nicht verarbeitet:
Serveridentität
Diese Identität wird vom Profil STARTED immer der Benutzer-ID des Prozesses zugeordnet.
SAF-Identität des nicht authentifizierten Benutzers
Die SAF-Identität des nicht authentifizierten Benutzers bedeutet, dass es keine Netzidentität gibt. Dieser Wert wird mit WebSphere z/OS Profile Management Tool oder mit dem Befehl zpmt konfiguriert und kann über die Administrationskonsole geändert werden. Sie sollten die SAF-Identität für nicht authentifizierte Benutzer mit dem Attribut RESTRICTED erstellen.

Symbol, das den Typ des Artikels anzeigt. Referenzartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rsec_jaaslogmod
Dateiname:rsec_jaaslogmod.html