![[z/OS]](../images/ngzos.gif)
Spezielle Hinweise zur Steuerung des Zugriffs auf Benennungsrollen mit SAF-Autorisierung
Im Folgenden finden Sie spezielle Hinweise für die Steuerung des Zugriffs auf Benennungsrollen in WebSphere Application Server.
Wenn Sie Benutzer Benennungsrollen zuordnen, können Sie die SAF-Berechtigung (EJBROLE-Profile) oder die Berechtigung von WebSphere Application Server für die Steuerung des Zugriffs auf Benennungsrollen verwenden. Informationen zum Aktivieren der SAF-Berechtigung finden Sie im Artikel z/OS-SAF-Berechtigung. Eine Beschreibung der Benennungsrollen finden Sie im Artikel Administrationskonsole und Berechtigung für Namensservice. Der Artikel Benutzer zu Benennungsrollen zuordnen enthält ebenfalls Informationen zu diesem Thema.
RDEFINE EJBROLE (optionalSecurityDomainName.)CosNamingRead UACC(READ) RDEFINE EJBROLE (optionalSecurityDomainName.)CosNamingWrite UACC(NONE) RDEFINE EJBROLE (optionalSecurityDomainName.)CosNamingCreate UACC(NONE) RDEFINE EJBROLE (optionalSecurityDomainName.)CosNamingDelete UACC(NONE) PERMIT (optionalSecurityDomainName.)CosNamingRead CLASS(EJBROLE) ID(WSGUEST) ACCESS(READ) PERMIT (optionalSecurityDomainName.)CosNamingWrite CLASS(EJBROLE) ID(WSCFG1) ACCESS(READ) PERMIT (optionalSecurityDomainName.)CosNamingCreate CLASS(EJBROLE) ID(WSCFG1) ACCESS(READ) PERMIT (optionalSecurityDomainName.)CosNamingDelete CLASS(EJBROLE) ID(WSCFG1) ACCESS(READ)
Sollten Sie die SAF-Autorisierung zu einem späteren Zeitpunkt aktivieren wollen, müssen Sie diese RACF-Befehle absetzen, um ein fehlerfreies Arbeiten von WebSphere Application Server zu gewährleisten. Ändern Sie den Wert WSGUEST, wenn Sie einen anderen nicht authentifizierten Benutzer ausgewählt haben. Ändern Sie den Wert WSCFG1, wenn Sie eine andere Konfigurationsgruppe ausgewählt haben. WSGUEST muss expliziter Lesezugriff (READ) erteilt werden, weil es sich um eine eingeschränkt Benutzer-ID handelt.
Der mit dem Anpassungsjob gewährte Standardzugriff berechtigt alle nicht authentifizierten Benutzer, den Namespace zu lesen. Diese Berechtigungsebene könnte mehr Zugriff gewähren, als von Ihnen gewünscht wird. Zumindest die Gruppe "Konfiguration" (Server und Administratoren) von WebSphere Application Server muss Lesezugriff (read) auf alle Profile haben und allen Clients von WebSphere Application Server for z/OS den Lesezugriff auf das Profil CosNamingRead einräumen.
PERMIT (optionalSAFProfilePrefix.)rolename CLASS(EJBROLE) ID(mvsid) ACCESS(READ)
Wenn die SAF-Berechtigung nicht aktiviert ist, werden die Berechtigung von WebSphere Application Server und die Administrationskonsole verwendet, um den Zugriff auf CosNaming-Funktionen zu steuern.
Informationen zur Verwendung der Berechtigung von WebSphere Application Server für die Steuerung des Zugriffs auf Benennungsrollen finden Sie unter Benutzer Benennungsrollen zuordnen.