[z/OS]

Protección de los adaptadores locales optimizados para el soporte de entrada

Utilice esta tarea para configurar la seguridad de las conexiones de los adaptadores locales optimizados que realizan llamadas de entrada.

Antes de empezar

Ejecute los servidores WebSphere Application Server para z/OS con la seguridad global y active la opción de sincronización con la hebra de sistema operativo si va a utilizar las API de adaptadores locales optimizados con dichos servidores. Para obtener información sobre la seguridad global, consulte el tema Habilitación de la seguridad. Si desea obtener más información sobre la activación de la opción Sincronización con la hebra del sistema operativo, consulte el tema que trata sobre las opciones de seguridad de z/OS.

El acceso local a servidores de WebSphere Application Server for z/OS está protegido por la clase CBIND de SAF (System Authorization Facility). Esta clase se define durante la creación del perfil y se utiliza para proteger los servidores de WebSphere Application Server for z/OS cuando se realizan solicitudes de conexión de cliente local con IIOP (Internet Inter-ORB Protocol), además de solicitudes de adaptadores locales optimizados. Antes de ejecutar una aplicación que utilice la API Register, asegúrese de otorgar acceso de lectura READ para el ID de usuario del trabajo, proceso USS (UNIX System Services) o región CICS (Customer Information Control System) a la clase CBIND del servidor de destino. Esto se configura con el trabajo BBOCBRAK. Si desea obtener más información sobre la clase CBIND, consulte el tema que trata sobre el uso de CBIND para controlar el acceso a clústeres.

Todas las solicitudes de entrada a WebSphere Application Server se ejecutan bajo la autorización del usuario actual de la hebra. Esta identidad se propaga automáticamente y se confirma en el contenedor EJB (Enterprise JavaBeans) y esta identidad es aquella con la que se ejecuta la aplicación. Las solicitudes de entrada que se dirigen a un enterprise bean de destino llegan de la misma forma que las invocaciones de método en las solicitudes IIOP locales y las opciones de seguridad de RunAs funcionan de la misma manera que las solicitudes IIOP locales.

Cuando el trabajo de transacción pasa entre CICS y WebSphere Application Server para z/OS, ya sea de entrada o salida, debe tener en cuenta algunas consideraciones de seguridad especiales. Por ejemplo, debe determinar si la autenticación de entrada para el trabajo de WebSphere Application Server debe ejecutarse con la autorización de la aplicación CICS específica o con la autorización de la región CICS global. Cuando WebSphere Application Server envía trabajos de salida a una aplicación CICS, sucede algo similar; debe determinar si CICS debe respetar la autorización de la aplicación de origen o su propio perfil de seguridad actual de CICS.
Atención: Para que CICS procese la solicitud debe asegurarse de que las aplicaciones cliente se autentiquen.

Para pasar solicitudes a WebSphere Application Server desde CICS, puede indicar que desea utilizar la identidad de la aplicación CICS actual; para ello, establezca un distintivo al respecto con la llamada de la API Register.

Acerca de esta tarea

Para proteger los adaptadores locales optimizados que realizan una llamada de entrada, debe seguir estos pasos:

Procedimiento

Configure los valores de seguridad. El tipo de propagación de la identidad de seguridad se especifica en los distintivos de registro cuando se realiza la solicitud de conexión de adaptadores locales optimizados en la llamada a BBOA1REG. Puede seleccionar el perfil de seguridad de región CICS o de aplicación CICS.
Atención: Para que funcione correctamente, debe haber habilitado la seguridad de nivel de aplicación CICS con la opción de inicio de CICS SEC=YES.
Además, el usuario de la aplicación CICS sólo puede propagarse y confirmarse en la hebra de WebSphere Application Server cuando la variable de entorno ola_cicsuser_identity_propagate se ha establecido en 1. Esto permite que el programador del sistema WebSphere Application Server pueda gestionar el control de este comportamiento. Si esta opción se establece en 0 (el valor predeterminado), se produce un error cuando la API Register llama a las aplicaciones CICS que seleccionan la propagación de nivel de aplicación. Para obtener más información sobre esta variable de entorno, consulte el tema sobre las variables de entorno de los adaptadores locales optimizados.

Establezca la variable de entorno de modo que permita que se utilicen las identidades de nivel de aplicación CICS para autenticación al realizarse la solicitud de registro. Puede establecer la variable en la consola administrativa de la siguiente manera:

  1. Pulse Entorno > Variables de WebSphere.
  2. En Ámbito, seleccione Célula en la lista desplegable de selección de ámbitos. Si la variable de entorno ola_cicsuser_identity_propagate se muestra en la lista de recursos, no es necesario que vuelva a añadirla. Puede continuar con el paso c. Si no se ha añadido la variable a la lista de recursos, pulse Añadir. La variable de entorno ola_cicsuser_identity_propagate debe añadirse a la lista de visualización la primera vez que realice esta tarea. Después de esta primera adición, podrá seleccionar ola_cicsuser_identity_propagate en la lista de visualización después de establecer el ámbito.
  3. Pulse ola_cicsuser_identity_propagate. Se muestra la ventana Propiedades generales, donde puede configurar la variable.
  4. Establezca la variable de entorno de WebSphere Application Server en 1. Si establece la variable de entorno en 0 (cero) o la deja sin definir, no se respeta la seguridad de nivel de aplicación CICS en una llamada de entrada a WebSphere Application Server.
  5. Pulse Aplicar y Aceptar.

Resultados

Ha establecido la seguridad para las conexiones de entrada de los adaptadores locales optimizados.

Qué hacer a continuación

Para obtener más información sobre la utilización de seguridad con IMS, consulte el tema Consideraciones de seguridad al utilizar adaptadores locales optimizados con IMS.

Icon that indicates the type of topic Task topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tdat_security_in
File name: tdat_security_in.html