[z/OS]

Protección de los adaptadores locales optimizados para el soporte de salida

Utilice esta tarea cuando desee configurar la seguridad de los adaptadores locales optimizados que realizan llamadas de salida.

Antes de empezar

Ejecute los servidores WebSphere Application Server para z/OS con la seguridad global y active la opción de sincronización con la hebra de sistema operativo si va a utilizar las API de adaptadores locales optimizados con dichos servidores. Para obtener información sobre la seguridad global, consulte el tema Habilitación de la seguridad. Si desea obtener más información sobre la activación de la opción Sincronización con la hebra del sistema operativo, consulte el tema que trata sobre las opciones de seguridad de z/OS.

Como alternativa, el administrador del sistema puede proporcionar un nombre de usuario y una contraseña en la fábrica de conexiones de adaptadores locales optimizados, o el desarrollador de aplicaciones puede proporcionar un nombre de usuario y una contraseña en el objeto ConnectionSpec, que se utiliza para obtener una conexión de la fábrica de conexiones de adaptadores locales optimizados. Se realiza un inicio de sesión utilizando esta combinación de nombre de usuario y contraseña, y el ID de usuario de MVS asociada con el nombre de usuario se utiliza cuando se realizan solicitudes de adaptadores locales optimizados desde esta conexión. Si no hay ningún ID de usuario de MVS asociado con este nombre de usuario, no se utiliza un ID de usuario de MVS cuando se realizan solicitudes de adaptadores locales optimizados desde esta conexión.

El acceso local a servidores de WebSphere Application Server for z/OS está protegido por la clase CBIND de SAF (System Authorization Facility). Esta clase se define durante la creación del perfil y se utiliza para proteger los servidores de WebSphere Application Server for z/OS cuando se realizan solicitudes de conexión de cliente local con IIOP (Internet Inter-ORB Protocol), además de solicitudes de adaptadores locales optimizados. Antes de ejecutar una aplicación que utilice la API Register, asegúrese de otorgar acceso de lectura READ para el ID de usuario del trabajo, proceso USS (UNIX System Services) o región CICS (Customer Information Control System) a la clase CBIND del servidor de destino. Esto se configura con el trabajo BBOCBRAK. Si desea obtener más información sobre la clase CBIND, consulte el tema que trata sobre el uso de CBIND para controlar el acceso a clústeres.

Para llamar desde WebSphere Application Server a una aplicación mediante las API Host Service y Receive Request de los adaptadores locales optimizados, se utiliza la identidad de la hebra en la que se llamó a la API. Para entornos que no son CICS, los adaptadores locales optimizados no intentan confirmar la identidad de la aplicación WebSphere Application Server. Esto incluye las regiones dependientes del sistema de gestión de información (IMS). Para estos, las transacciones se inician bajo el ID del usuario que inició la transacción. Esto incluye regiones dependientes de IMS . Para estas regiones, las transacciones se inician bajo el ID que ha iniciado la transacción.

Cuando el trabajo de transacción pasa entre CICS y WebSphere Application Server para z/OS, ya sea de entrada o salida, debe tener en cuenta algunas consideraciones de seguridad especiales. Por ejemplo, debe determinar si la autenticación de entrada para el trabajo de WebSphere Application Server debe ejecutarse con la autorización de la aplicación CICS específica o con la autorización de la región CICS global. Cuando WebSphere Application Server envía trabajos de salida a una aplicación CICS, sucede algo similar; debe determinar si CICS debe respetar la autorización de la aplicación de origen o su propio perfil de seguridad actual de CICS.
Atención: Para que CICS procese la solicitud debe asegurarse de que las aplicaciones cliente se autentiquen.

Para recibir solicitudes en CICS y procesarlas con el servidor de enlace (Link) CICS del adaptador local optimizado (tarea BBO$), al iniciar el servidor de enlace puede indicar que desea que el servidor de enlace confirme la identidad de nivel de hebra de WebSphere Application Server propagada a la hebra CICS donde se ejecutará el programa de destino. Esto se realiza mediante un parámetro en la transacción BBOC CICS de los adaptadores locales optimizados.

Acerca de esta tarea

Para proteger los adaptadores locales optimizados que realizan una llamada de salida, debe seguir estos pasos:

Procedimiento

Configure los valores de seguridad. Cuando utilice las API Host Service o Receive Request de los adaptadores locales optimizados en una aplicación que se ejecuta en CICS, se utiliza la autorización de la aplicación CICS que llamó a estas API. Cuando utilice el servidor de enlace CICS de los adaptadores locales optimizados, puede indicar que desea que la tarea del servidor de enlace, BBO$, confirme la identidad de WebSphere Application Server antes de llamar al programa de destino, de la siguiente manera:
  1. En la transacción BBOC CICS de los adaptadores locales optimizados que utilice para iniciar el servidor de enlace (con BBOC START_SRVR), pase el parámetro SEC=Y. Cuando se especifica este parámetro, la tarea BBO$ del servidor de enlace de los adaptadores locales optimizados inician la tarea de enlace BBO# con la identidad que se propagó al llamar a la hebra de WebSphere Application Server.
  2. Compruebe que la región CICS se esté ejecutando con la seguridad habilitada y con la comprobación de EXEC CICS START habilitada. La seguridad se habilita durante el inicio con el parámetro SEC=YES. La comprobación de EXEC CICS START se habilita durante el inicio con el parámetro XUSER=YES.
  3. Cree una clase sustituta SAF que garantice que la identidad del servidor de enlace de los adaptadores locales optimizados se esté ejecutando con la autorización para emitir EXEC CICS START TRANSACTION API y pasar el USERID que se propagó a CICS desde WebSphere Application Server. El ejemplo siguiente muestra una clase sustituta definida para el ID de usuario USER1 que permite que el ID de usuario OLASERVE emita EXEC CICS START TRANS(BBO#) USERID(USER1) y procese las transacciones de enlace CICS de los adaptadores locales optimizados que se ejecutan con la identidad de USER1.
    RDEFINE SURROGAT USER1.DFHSTART UACC(NONE) OWNER(USER1)  
    PERMIT USER1.DFHSTART CLASS(SURROGAT) ID(USER1)          
    PERMIT USER1.DFHSTART CLASS(SURROGAT) ID(OLASERVE)       
    SETROPTS RACLIST(SURROGAT) REFRESH 

Resultados

Ha establecido la seguridad para las conexiones de los adaptadores locales optimizados.

Qué hacer a continuación

Para obtener más información sobre la utilización de seguridad con IMS, consulte el tema Consideraciones de seguridad al utilizar adaptadores locales optimizados con IMS.

Icon that indicates the type of topic Task topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tdat_security_out
File name: tdat_security_out.html