[z/OS]

SAF-Benutzerregistrys

SAF-Benutzerregistrys werden in WebSphere Application Server for z/OS für verschiedene Zwecke eingesetzt.

SAF-Benutzerregistrys werden für folgende Zwecke verwendet:
  • Authentifizierung mit Basisauthentifizierung, Zusicherung der Identität oder Clientzertifikaten
  • Speichern von Informationen zu Benutzern und Gruppen
  • Abrufen von Informationen zu Benutzern und Gruppen für die Durchführung von sicherheitsbezogenen Verwaltungsfunktionen, einschließlich der Zuordnung von Benutzern und Gruppen zu Sicherheitsrollen
  • Steuerung des Zugriffs auf Ressourcen wie Dateien, Befehle und Ports
Nähere Informationen finden Sie im Artikel Registry oder Repository auswählen.

Wenn Sie eine Benutzerregistry-Implementierung des lokalen Betriebssystems oder eines anderen Typs verwenden, kann das Authentifizierungsverfahren von WebSphere Application Server for z/OS die SAF-Schnittstellen verwenden. Die SAF-Schnittstellen werden von MVS definiert und ermöglichen Anwendungen die Verwendung von Systemberechtigungsservices und Benutzerregistrys für die Steuerung des Zugriffs auf Ressourcen wie Dateien und MVS-Befehle. SAF verarbeitet Anforderungen zur Sicherheitsberechtigung entweder direkt oder arbeitet mit RACFoder anderen Sicherheitsprodukten zusammen, um die Anforderungen zu bearbeiten. Eine SAF-Benutzerregistry des lokalen Betriebssystems ist keine zentral verwaltete Benutzerregistry wie LDAP (Lightweight Directory Access Protocol), sondern eine zentral verwaltete Registry in einem Sysplex.

Anmerkung: Wenn Sie eine andere Benutzerregistry als die des lokalen Betriebssystems verwenden, verwendet WebSphere Application Server for z/OS diese Registry zwar für die Authentifizierung, aber weiterhin die SAF-Schnittstelle, um den Zugriff auf Systemressourcen zu steuern.

In WebSphere Application Server for z/OS unterstützen SAF-Benutzerregistrys Zuordnungen von digitalen Zertifikaten zu Benutzer-IDs mit dem RACF-Befehl (Resource Access Control Facility) RACDCERT. Weitere Informationen zum Befehl RACDCERT finden Sie in der "z/OS Security Server RACF Command Language Reference" für Ihre z/OS-Version in der Bibliothek "z/OS Internet Library".

Die Implementierung der Benutzerregistry (SAF-Benutzerregistry) vom Typ "localOS" in WebSphere Application Server for z/OS legt den Realmnamen der Registry aus dem Profil SAFDFLT in der Klasse REALM fest, unabhängig davon, ob die Klasse REALM aktiv oder inaktiv ist. Dieser Realmnamen wird als Eigenschaft APPLDATA im Profil SAFDFLT angegeben. Wenn der Realmname nicht aus dem Sicherheitsprodukt des Betriebssystems (z. B. RACF) abgerufen werden kann, wird der Wert der Eigenschaft protocol_iiop_daemon_listenIPAddress als Realmname verwendet. Beispielsweise wird der Wert der Eigenschaft "protocol_iiop_daemon_listenIPAddress" verwendet, wenn das Profil SAFDFLT oder die Eigenschaft APPLDATA nicht definiert ist.

Fehler vermeiden Fehler vermeiden: Aufgrund des PE APAR, PM76462, findet die im vorherigen Abschnitt beschriebene Implementierung der Benutzerregistry (SAF-Benutzerregistry) vom Typ "localOS" in Version 8.5.5.1 von WebSphere for z/OS nur dann statt, wenn die Realmklasse aktiv ist. Dieser Implementierungsfehler wurde in Version 8.5.5.2 korrigiert.gotcha
Damit Änderungen von Realmnamen wirksam werden, muss die gesamte Zelle, einschließlich des Dämonadressraums, gestoppt und erneut gestartet werden. Allerdings besteht es eine UNIX System Services-Einschränkung. Wenn Sie Benutzer- und Gruppendaten auflisten, werden nur die Benutzer mit einem OMVS-Segment (in dem Benutzer- und Gruppendaten gespeichert sind) angezeigt. Weitere Informationen finden Sie unter Übersicht über die Steuerelemente.
Fehler vermeiden Fehler vermeiden: Wenn Sie die Gruppen oder Benutzer in der Benutzerregistry für einen bestimmten Sicherheitsrealm, Ressourcennamen oder Domänennamen auflisten, müssen Sie sicherstellen, dass jeder Gruppe oder jedem Benutzer, der mit WebSphere Application Server verwendet werden soll, ein OMVS-Segment hinzugefügt wird (in dem die Informationen zum Benutzer und zur Gruppe gespeichert sind). Außerdem muss die Standardgruppe für diesen Benutzer ein OMVS-Segment haben, um diesen Benutzer in der Administrationskonsole aufzulisten. Weitere Informationen finden Sie im Artikel gotcha
.
Anmerkung: Die Standardimplementierung und einzige Implementierung für eine Benutzerregistry des lokalen Betriebssystems ist SAF.

Allgemeine Informationen zur Auswahl von Benutzerregistrys finden Sie im Artikel Registry oder Repository auswählen.


Symbol, das den Typ des Artikels anzeigt. Konzeptartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=csec_safuserreg
Dateiname:csec_safuserreg.html