[z/OS]

Consideraciones especiales sobre el control del acceso a roles de nombres mediante la autorización SAF

Existen consideraciones especiales relacionadas con WebSphere Application Server para controlar el acceso a los roles de nombres.

Cuando asigne usuarios a roles de denominación, puede utilizar la autorización de SAF (System Authorization Facility) (perfiles EJBROLE) o la autorización de WebSphere Application Server para controlar el acceso a los roles de nombres. Para habilitar la autorización SAF, consulte Autorización SAF (System Authorization Facility) de z/OS para obtener más información.Si desea ver una descripción de los roles CosNaming, consulte Consola administrativa y autorización de servicios de nombres. También puede consultar Asignación de usuarios a roles de nombres.

Cuando se habilita la autorización SAF, se utilizan los perfiles EJBROLE de SAF para controlar el acceso a las funciones de CosNaming. Si ha seleccionado Utilizar un producto de seguridad z/OS durante la creación de perfiles en la herramienta de gestión de perfiles de z/OS y también especifica un valor para el prefijo del perfil SAF (anteriormente referido como dominio de seguridad de z/OS), los trabajos de personalización han definido los roles CosNaming siguientes:
RDEFINE EJBROLE (optionalSecurityDomainName.)CosNamingRead 
 UACC(READ)
RDEFINE EJBROLE (optionalSecurityDomainName.)CosNamingWrite
 UACC(NONE)
RDEFINE EJBROLE (optionalSecurityDomainName.)CosNamingCreate
 UACC(NONE)
RDEFINE EJBROLE (optionalSecurityDomainName.)CosNamingDelete
 UACC(NONE)

PERMIT (optionalSecurityDomainName.)CosNamingRead  CLASS(EJBROLE)
 ID(WSGUEST) ACCESS(READ)
PERMIT (optionalSecurityDomainName.)CosNamingWrite  CLASS(EJBROLE)
 ID(WSCFG1) ACCESS(READ)
PERMIT (optionalSecurityDomainName.)CosNamingCreate  CLASS(EJBROLE)
 ID(WSCFG1) ACCESS(READ)
PERMIT (optionalSecurityDomainName.)CosNamingDelete  CLASS(EJBROLE) 
 ID(WSCFG1) ACCESS(READ)

Si decide habilitar en el futuro la autorización SAF, debe emitir estos mandatos de RACF para habilitar la operación de WebSphere Application Server adecuada. Cambie el valor WSGUEST si ha elegido un ID de usuario no autenticado diferente. Cambie el valor WSCFG1 si ha elegido un grupo de configuración diferente. A WSGUEST se le debe otorgar acceso de lectura (READ) explícito porque es un ID de usuario restringido.

El acceso predeterminado que otorga el trabajo de personalización permite a todos los usuarios autenticados leer el espacio de nombres. Este tipo de autorizaciones puede ser un nivel de autorización más amplio que el que desea proporcionar. Como mínimo, debe habilitar el grupo de configuración de WebSphere Application Server (servidores y administradores) para tener acceso de lectura a todos los perfiles y permitir que todos los clientes de WebSphere Application Server para z/OS tengan acceso de lectura al perfil CosNamingRead.

Si hay más usuarios que necesitan acceso a los roles CosNaming, para otorgar permiso a un usuario a cualquiera de los roles anteriores, según lo especificado, emita el siguiente mandato RACF:
PERMIT (optionalSAFProfilePrefix.)rolename   CLASS(EJBROLE)  ID(mvsid) ACCESS(READ)

Cuando la autorización SAF no está habilitada, la autorización de WebSphere Application Server y la consola administrativa se utilizan para controlar el acceso a las funciones de CosNaming.

Para obtener información sobre cómo utilizar la autorización de WebSphere Application Server para controlar el acceso a los roles de denominación, consulte el apartado Asignación de usuarios a roles de denominación.


Icon that indicates the type of topic Concept topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=csec_contaccnamroles
File name: csec_contaccnamroles.html