![[z/OS]](../images/ngzos.gif)
Threadidentität für Verbindungen
Application Server for z/OS bietet Ihnen die Möglichkeit, eine Threadkennung als Verbindungseigner zuzuordnen, wenn Sie die Verbindung zum ersten Mal abrufen. Die Funktion "Threadidentität" wird nur auf JCA-Ressourcenadapter (Java™ Enterprise Edition Connector Architecture, Java EE) und RRA-JDBC-Provider (Relational Resource Adapter, Java Database Connectivity), die die Verwendung von Threadidentitäten für Verbindungseignerschaft unterstützen, angewendet.
In diesem Abschnitt bezieht sich der Begriff "Threadidentität" auf die Java-EE-Identität (z. B. RunAs-Identität) im Gegensatz zur Threadidentität des Betriebssystems. Weitere Informationen finden Sie im Artikel "Java-Threadidentität und Betriebssystemthreadidentität synchronisieren" und im Artikel "RunAs-Threadidentität des Verbindungsmanagers aktivieren und Sicherheit des Betriebssystem".
In der folgenden Tabelle sind die Prozesse der JCA-Ressourcenadapter und JDBC-Provider, die die Threadidentität und die Threadsicherheit unterstützen, aufgelistet. Außerdem ist jeweils die Stufe der Unterstützung von Threadidentitäten angegeben:
Connector | Unterstützung von Threadidentitäten | Sicherheit des Betriebssystemthreads |
---|---|---|
IMS Connector - lokale ConnectionFactory-Konfiguration | ZULÄSSIG | Nicht unterstützt |
IMS Connector - ferne ConnectionFactory-Konfiguration | NICHT ZULÄSSIG | Nicht unterstützt |
CTG CICSECIConnector - lokale ConnectionFactory-Konfiguration | ZULÄSSIG | Nicht unterstützt |
CTG CICSECIConnector - ferne ConnectionFactory-Konfiguration | NICHT ZULÄSSIG | Nicht unterstützt |
IMS JDBC Connector - lokale ConnectionFactory-Konfiguration (standardmäßig unterstützt IMS JDBC nur diese Konfiguration) | ERFORDERLICH | Zutreffend (True) |
Lokaler JDBC-Provider für RRA DB2 for z/OS - Datenquellen, die für die lokale DB2-Datenbank konfiguriert sind | ZULÄSSIG | Zutreffend (True) |
RRA DB2 Universal JDBC Driver Provider - Konnektivität des Typs 2 | ZULÄSSIG | Zutreffend (True) |
RRA DB2 Universal JDBC Driver Provider - Konnektivität des Typs 4 | NICHT ZULÄSSIG | Nicht unterstützt |
WebSphere MQ JMS Provider: Verbindungsfactory (TransportType = BINDINGS) | ZULÄSSIG | Zutreffend (True) |
WebSphere MQ JMS Provider - Verbindungsfactory (TransportType = CLIENT) | NICHT ZULÄSSIG | Nicht unterstützt |
WebSphere JMS Provider (z. B. Integral JMS Provider) - Verbindungsfactory | NICHT ZULÄSSIG | Nicht unterstützt |
WebSphere Application Server for z/OS ermöglicht Ressourcenadaptern und JDBC-Providern, die Stufe der Unterstützung von Threadidentitäten für die definierten Verbindungsfactorys oder Datenquellen zu definieren. Die Unterstützungsstufen lauten wie folgt:
- ALLOWED: Gibt an, dass in dieser Konfiguration Threadidentitäten als Verbindungseigner zulässig sind.
- NOTALLOWED: Gibt an, dass in dieser Konfiguration Threadidentitäten als Verbindungseigner nicht zulässig sind.
- REQUIRED: Gibt an, dass Threadidentitäten als Verbindungseigner erforderlich sind.
Die Funktion für Threadidentitäten ist nur in den Serverkonfigurationen verfügbar, in denen JCA-Connector oder JDBC-Provider über aufrufbare Schnittstellen (nicht TCP/IP) auf lokale z/OS-Ressourcen zugreifen. Beispielsweise unterstützen CICS umd IMS Threadidentitäten nur, wenn das CICS- oder IMS-Zielsystem auf demselben System konfiguriert ist wie der z/OS WebSphere Application Server.
Wenn Sie Threadidentitäten für das Abrufen von Verbindungen zu ener Verbindungsfactory oder JDBC-Datenquelle für Ihre Anwendung verwenden möchten, müssen Sie resauth=Container für die Verbindungsfactory bzw. JDBC-Datenquelle angeben. Verwenden Sie das Assembliertool von Eclipse oder WebSphere Studio Application Developer Integration Edition (WSADIE), um die Einstellung resauth=Container zu definieren.
Wenn die Stufe der Unterstützung von Threadidentitäten, die von der Connector-Konfiguration bereitgestellt wird, ZULÄSSIG ist und Sie Threadidentitäten für die Verbindungen verwenden möchten, können Sie bei der Definition der Verbindungsfactory oder JDBC-Datenquelle keinen containergesteuerten Aliasnamen angeben. Wenn Sie einen containergesteuerten Aliasnamen angeben, wird die vom Aliasnamen definierte Benutzer-ID für die von der Anwendung abgerufenen Verbindungen als Eigner-ID zugeordnet.
Wenn der JDBC-Provider Threadidentitäten unterstützt, wird die entsprechende Funktion nur verwendet, wenn die für diesen Provider konfigurierten Datenquellen von EJB-Modulen der Version 2.0 und Servlets der Version 2.3 verwendet werden.
WebSphere Application Server for z/OS ermöglicht unterstützten Ressourcenadaptern und JDBC-Providern, die Sicherheit des Betriebssystemthreads in Verbindung mit der Unterstützung von Threadidentitäten zu aktivieren. Sie können die Sicherheit des Betriebssystemthreads verwenden, wenn folgende Voraussetzungen vorliegen:
- Die Serverkonfiguration unterstützt Threadidentitäten und Threadsicherheit.
- Die Eigenschaft "RunAs-Threadidentität des Verbindungsmanagers aktivieren" ist
aktiviert.
Sie können den Server so konfigurieren, dass die Eigenschaft "RunAs-Threadidentität des Verbindungsmanagers aktivieren" unterstützt wird. Klicken Sie zum Aktivieren dieser Option in der Administrationskonsole auf RunAs-Threadidentität des Verbindungsmanagers aktivieren, und klicken Sie auf Anwenden.
. Wählen Sie in der Anzeige mit dem z/OS-Sicherheitsoptionen die Option - Das z/OS-Sicherheitsprodukt lässt die Synchronisation der Threadidentität der Verbindungsverwaltung über die Klasse BBO.SYNC FACILITY oder BBO.SYNC SURROGATE zu.
Wenn diese Voraussetzungen vorliegen, erstellt das System ein ACEE (Access Control Environment Element) für den dem Thread zugeordneten Benutzer.
Benutzer früherer Versionen von WebSphere Application Server for z/OS werden feststellen, dass sich die Anweisungen für die Aktivierung der Sicherheit des Betriebssystemthreads geändert haben. Bislang wurde die Sicherheit des Betriebssystemthreads über das Kontrollkästchen "SynchToThread aktivieren" aktiviert. Dieses Kontrollkästchen ist noch vorhanden, ist der Verbindungsverwaltung jedoch nicht mehr zugeordnet. Benutzer, die die die Sicherheit des Betriebssystemthreads aktivieren möchten, verwenden jetzt das Kontrollkästchen "RunAs-Threadidentität des Verbindungsmanagers aktivieren".