[z/OS]

Unterstützung optimierter lokaler Adapter für abgehende Anforderungen sichern

Verwenden Sie diese Task, wenn Sie die Sicherheit für Ihre optimierten lokalen Adapter konfigurieren möchten, die abgehende Aufrufe durchführen.

Vorbereitende Schritte

Führen Sie die Server von WebSphere Application Server for z/OS mit globaler Sicherheit aus, und aktivieren Sie die Option für die Synchronisation mit dem Betriebssystemthread, wenn Sie die APIs für optimierte lokale Adapter mit diesen Servern verwenden möchten. Weitere Informationen zur globalen Sicherheit finden Sie im Artikel "Sicherheit aktivieren". Weitere Informationen zum Aktivieren der Option für die Synchronisation mit dem Betriebssystemthread finden Sie im Artikel zu den z/OS-Sicherheitsoptionen.

Alternativ dazu kann der Systemadministrator einen Benutzernamen und ein Kennwort in der Verbindungsfactory für optimierte lokale Adapter angeben, oder der Anwendungsentwickler kann einen Benutzernamen und ein Kennwort für das Objekt "ConnectionSpec" angeben, das verwendet wird, um eine Verbindung aus der Verbindungsfactory für optimierte lokale Adapter abzurufen. Mit dieser Kombination aus Benutzername und Kennwort wird eine Anmeldung durchgeführt, und die MVS-Benutzer-ID, die dem Benutzernamen zugeordnet ist, wird verwendet, wenn über diese Verbindung Anforderungen von optimierten lokalen Adaptern abgesetzt werden. Ist diesem Benutzernamen keine MVS-Benutzer-ID zugeordnet, wird keine MVS-Benutzer-ID verwendet, wenn über diese Verbindung Anforderungen von optimierten lokalen Adaptern abgesetzt werden.

Der lokale Zugriff auf die Server von WebSphere Application Server for z/OS wird mit der SAF-Kasse (System Authorization Facility) CBIND gesichert. Diese Klasse wird während der Profilerstellung definiert und verwendet, um die Server von WebSphere Application Server for z/OS zu sichern, wenn lokale IIOP-Clientverbindungsanforderungen (Internet Inter-ORB Protocol) und Anforderungen von optimierten lokalen Adaptern abgesetzt werden. Vor der Ausführung einer Anwendung, die die API "Registrieren" verwendet, müssen Sie der Benutzer-ID für den Job, dem USS-Prozess (UNIX System Services) bzw. der CICS-Region (Customer Information Control System) Lesezugriff auf die Klasse CBIND für den Zielserver erteilen. Diese Konfiguration erfolgt über den Job BBOCBRAK. Weitere Informationen zur Klasse CBIND finden Sie im Artikel "CBIND für die Steuerung des Zugriffs auf Cluster verwenden".

Für Aufrufe von WebSphere Application Server an eine Anwendung über den Host-Service für optimierte lokale Adapter und die API "Anforderung empfangen" wird die Identität im Thread, in dem die API aufgerufen wird, verwendet. Für andere Umgebungen als CICS versuchen die optimierten lokalen Adapter nicht, die Identität der WebSphere Application Server-Anwendung zuzusichern. Dazu gehören auch IMS-abhängige (Information Management System) Regionen. Für diese Regionen werden Transaktionen unter der ID des Benutzers gestartet, der die Transaktion gestartet hat. Und dazu gehören auch IMS-abhängige Regionen. Für diese Regionen werden Transaktionen unter der ID des Benutzers gestartet, der die Transaktion gestartet hat.

Wenn Transaktionsarbeitsvorgänge zwischen CICS und CICS and WebSphere Application Server for z/OS (eingehend oder abgehend) übergeben werden, müssen Sie spezielle Sicherheitshinweise beachten. Sie müssen beispielsweise festlegen, ob die Authentifizierung für eingehende Arbeit in WebSphere Application Server mit der Berechtigung der jeweiligen CICS-Anwendung oder mit der Berechtigung der gesamten CICS-Region durchgeführt werden soll. Ähnliche Aspekte sind zu beachten, wenn WebSphere Application Server abgehende Arbeitsvorgänge an eine CICS-Anwendung sendet. Sie müssen bestimmen, ob CICS die Berechtigung der sendenden Anwendung oder sein eigenes aktuelles CICS-Sicherheitsprofil berücksichtigen soll.
Achtung: Stellen Sie sicher, dass die Clientanwendungen authentifiziert werden, damit CICS die Anforderung verarbeiten kann.

Für den Empfang von Anforderungen in CICS und deren Verarbeitung mit dem CICS-Link-Server für die optimierten lokalen Adapter (Task BBO$) können Sie angeben, wann der Link-Server gestartet werden soll, der die Identität zusichern soll, die im WebSphere Application Server-Thread an den CICS-Thread weitergegeben wird, in dem das Zielprogramm gestartet wird. Hierfür verwenden Sie einen Parameter in der BBOC-CICS-Transaktion für die optimierten lokalen Adapter.

Informationen zu diesem Vorgang

Die folgenden Schritte enthalten die Tasks, die Sie ausführen müssen, um die optimierten lokalen Adapter für einen abgehenden Aufruf zu sichern:

Vorgehensweise

Sicherheitseinstellungen konfigurieren. Wenn Sie die API "Host-Service" oder "Anforderung empfangen" für die optimierten lokalen Adapter in einer Anwendung verwenden, die unter CICS ausgeführt wird, wird die Berechtigung der CICS-Anwendung verwendet, die diese APIs aufruft. Wenn Sie den CICS-Link-Server für die optimierten lokalen Adapter verwenden, können Sie angeben, dass die Link-Server-Task BBO$ verwendet werden soll, um die Identität von WebSphere Application Server zuzusichern, bevor das Zielprogramm aufgerufen wird. Gehen Sie dazu wie folgt vor:
  1. Übergeben Sie in der BBOC-CICS-Transaktion für die optimierten lokalen Adapter, die Sie zum Starten des Link-Servers (mit BBOC START_SRVR) verwenden, den Parameter "SEC=Y". Wenn Sie diesen Parameter angeben, startet die Link-Server-Task BBO$ die Link-Task BBO# mit der Identität, die über den Aufruf des Threads von WebSphere Application Server weitergegeben wurde.
  2. Stellen Sie sicher, dass die CICS-Region mit aktivierter Sicherheit ausgeführt wird und dass die Überprüfung von EXEC CICS START aktiviert ist. Die Sicherheit wird beim Start über den Parameter "SEC=YES" aktiviert. Die Überprüfung von EXEC CICS START wird beim Start über den Parameter "XUSER=YES" aktiviert.
  3. Erstellen Sie eine SAF-Ersatzklasse, die der Identität, unter der der Link-Server für die optimierten lokalen Server ausgeführt wird, die Berechtigung zum Ausführen der API "EXEC CICS START TRANSACTION" erteilt, und übergeben Sie die Benutzer-ID, die von WebSphere Application Server an CICS weitergegeben wurde. Im Folgenden sehen Sie ein Beispiel, das eine Ersatzklasse zeigt, die für die Benutzer-ID USER1 erstellt wurde und der Benutzer-ID OLASERVE ermöglicht, EXEC CICS START TRANS(BBO#) USERID(USER1) auszuführen und CICS-Link-Transaktionen für die optimierten lokalen Adapter zu verarbeiten, die unter der Identität von USER1 ausgeführt werden:
    RDEFINE SURROGAT USER1.DFHSTART UACC(NONE) OWNER(USER1)  
    PERMIT USER1.DFHSTART CLASS(SURROGAT) ID(USER1)          
    PERMIT USER1.DFHSTART CLASS(SURROGAT) ID(OLASERVE)       
    SETROPTS RACLIST(SURROGAT) REFRESH 

Ergebnisse

Sie haben die Sicherheit für Verbindungen für optimierte lokale Adapter konfiguriert.

Nächste Schritte

Weitere Informationen zur Verwendung der Sicherheit mit IMS finden Sie im Artikel "Sicherheitshinweise für die Verwendung optimierter lokaler Adapter mit IMS".

Symbol, das den Typ des Artikels anzeigt. Taskartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tdat_security_out
Dateiname:tdat_security_out.html