![[z/OS]](../images/ngzos.gif)
Sicherheitsaspekte bei der Verwendung von optimierten lokalen Adaptern mit IMS
In diesem Artikel werden Sicherheitsaspekte hinsichtlich der Verwendung optimierter lokaler Adapter mit IMS behandelt.
- MPR (MPPs)
- Fast Path (IFPs)
- Batch Message Processing (BMPs)
- Batch DL/I
Es gibt verschiedene Möglichkeiten, die Benutzeridentität der IMS-Task und dem zugehörigen TCB zuzuordnen. Für BMPs ist die Jobbenutzer-ID die Identität, die Zugriff auf die CBIND-Klasse erfordert. Für IFPs und MPPs kann die Benutzeridentität im TCB auf andere Weise festgelegt werden. Wenn das SECURITY-Makro für die IMS-Umgebung die Einstellung SECLVL=(TRANAUTH,SIGNON) angibt, muss die Benutzer-ID, die bei der Anmeldung angegeben wird, in der lokalen SAF-Datenbank enthalten sein. Die SAF-Authentifizierung wird durchgeführt. Außerdem wird der Transaktionszugriff mit SAF geprüft.
Wenn Sie diese Optionen verwenden und die "Build-Sicherheitsumgebung" verwenden, gibt Exit DFSBSEX0 den Rückkehrcode 4 an IMS zurück. Anschließend stellt IMS sicher, dass der TCB, unter dem die Transaktion zugeteilt wird, mit der authentifizierten SAF-ID synchronisiert wird.
Die Benutzer-ID des Anwendungsbenutzers benötigt die Lesezugriffsberechtigung für die CBIND-SAF-Klasse von WebSphere Application Server, um die API "Registrieren" des optimierten lokalen Adapters aufrufen zu können. IMS-Transaktionen, die von aufrufenden Programmen mit dem OTMA-Protokoll (Open Transaction Manager Access) eingeleitet werden, verwenden den OTMASE-Parameter, um festzustellen, ob der aktuelle Thread/TCB-Sicherheitskontext aktualisiert ist. Wenn Sie den Parameter OTMASE auf OTMASE=FULL setzen, ist die an den OTMA-Clientaufruf übergebene Identität die Identität des MPP- oder IFP-Threads. In diesem Szenario setzt die Client-ID den Lesezugriff für die Klasse CBIND.
Wenn Transaktionsoperationen von IMS an WebSphere Application Server for z/OS übergeben werden, wird die Benutzer-ID an den EJB-Container von WebSphere Application Server weitergeleitet und zugesichert.
Wenn Sie die optimierten lokalen Adapter verwenden, um vorhandene ungeänderte IMS-Transaktionen über OTMA aufzurufen, kann die Identität des aktuellen WebSphere Application Server-Clients an IMS-Transaktionen weitergegeben werden und in Regionen, die von MPR (Message Processing) und IFP (Fast Path) abhängig sind, implementiert und zugesichert werden. Dazu müssen Sie sicherstellen, dass der WebSphere-Server so konfiguriert ist, dass er mit der aktivierten Option für die Synchronisation mit dem Betriebssystemthread (SyncToOS) ausgeführt werden kann. Weitere Informationen zum Aktivieren der Option für die Synchronisation mit dem Betriebssystemthread finden Sie im Artikel zu den z/OS-Sicherheitsoptionen. Sobald Option für die Synchronisation mit dem Betriebssystemthread aktiviert ist, müssen Sie sicherstellen, dass der Parameter OTMASE für die IMS-Zielumgebung auf F, FULL gesetzt wird. Sind diese Optionen auf die beschriebene Weise konfiguriert, wird die Identität des Benutzers in der WebSphere Application Server-Umgebung an ein IMS-MPP oder -IFP weitergegeben und zugesichert. Dies gilt nicht für BMP-abhängige Regionen (Batch Message Processing).
