![[z/OS]](../images/ngzos.gif)
Opciones de seguridad de z/OS
Utilice esta página para determinar qué opciones de seguridad global va a especificar para el servidor de aplicaciones de z/OS.
Para ver esta página de la consola administrativa, pulse
.- Pulse .
- En Seguridad, pulse Dominio del servidor.
- Pulse Opciones de seguridad de z/OS.
Si configura la seguridad por primera vez, complete los pasos del artículo Seguridad global antes de realizar cambios. Una vez configurada la seguridad, valide los cambios en los paneles del registro de usuario o de los mecanismos de autenticación. Pulse Aplicar para validar los valores del registro de usuario. Se intentará autenticar el ID de servidor en el registro de usuario configurado. Si se validan los valores de registro de usuarios después de habilitar la seguridad global se pueden reducir los problemas potenciales cuando reinicie el servidor por primera vez.
Identidad remota
Especifica el ID de usuario SAF (System Authorization Facility) que se asume para los clientes autenticados IIOP (Internet Inter-ORB Protocol) que realizan peticiones de este servidor desde otro sistema.
Especifica si está permitida una identidad remota de aplicación.
Identidad local
Especifica el ID de usuario SAF que se supone para los clientes autenticados IIOP (Internet Inter-ORB Protocol) que realizan peticiones de este servidor desde el mismo sistema.
Especifica si está permitida una identidad local de aplicación.
Habilitar el servidor de aplicaciones y la sincronización de la identidad de hebra de z/OS
Especifica que los servidores de aplicaciones pueden procesar la opción SyncToOSThread para los componentes de aplicaciones que lo especifiquen.
Al seleccionar esta opción se indica si una identidad de hebra del sistema operativo está habilitada para la sincronización con la identidad Java™ Platform, Enterprise Edition (Java EE) que se utiliza durante la ejecución del servidor de aplicaciones si se ha codificado una aplicación para solicitar esta función.
La sincronización de la identidad del sistema operativo con la identidad Java EE hace que la identidad del sistema operativo se sincronice con el emisor autenticado o la identidad RunAs delegada en un servlet o archivo EJB (Enterprise JavaBeans). Esta sincronización o asociación significa que se utiliza la identidad de rol de seguridad o emisor en lugar de la identidad de región de servidor para las solicitudes de servicio del sistema z/OS como el acceso a archivos.
- El valor de Sincronización con la hebra del sistema operativo permitida sea true.
- Una aplicación incluya dentro de su descriptor de despliegue una entrada env-entry de com.ibm.websphere.security.SyncToOSThread establecida en true.
- El repositorio de cuentas de usuario configurados es el sistema operativo local.
Cuando estas condiciones son verdaderas, la identidad de hebra de OS se establece inicialmente en la identidad del llamante autenticado de una petición web o EJB. La hebra de OS se modifica cada vez que se modifica la identidad Java EE. La identidad Java EE puede modificarse por una especificación RunAs en el descriptor de despliegue o una solicitud WSSubject.doAs() programática.
Si Sincronización con la hebra del sistema operativo permitida tiene el valor false, que es el valor por omisión, esto inhabilita la posibilidad de modificación de la identidad en la hebra del sistema operativo del valor del descriptor de despliegue en el descriptor de despliegue de la aplicación. Si el servidor no se ha configurado para aceptar la habilitación de la sincronización y el descriptor de despliegue de la aplicación, com.ibm.websphere.security.SyncToOSThread, está establecido en true, un mensaje de aviso BBOJ0080W indica que EJB está solicitando la opción SyncToOSThread, pero el servidor no está habilitado para la opción SyncToOSThread.
Importante: Esta opción aumenta de modo significativo el número de registros SMF 80 utilizados para auditar la seguridad. Si está activada la auditoría de seguridad para los registros SMF 80, la cantidad de DASD utilizada también aumenta de modo significativo.
Habilitar la identidad de hebra RunAs del gestor de conexiones
Establece la identidad de MVS asociada a la identidad de Java Platform, Enterprise Edition (Java EE) en la hebra de ejecución. Los conectores locales de Java EE Connector Architecture (J2CA) pueden distinguir la identidad de MVS para la autenticación y la autorización cuando una aplicación solicite una conexión.
- La autorización de recursos está establecida en gestionado por contenedor (res-auth=container).
- Una entrada de alias no está codificada al desplegar la aplicación.
- El valor Sincronizar con hebra de OS del gestor de conexiones está establecido en habilitado.
Por ejemplo, si tiene una política de seguridad preexistente de DB2 para z/OS que controla qué usuarios tienen acceso a cada tabla, deseará que se aplique esa política cuando los usuarios accedan a las aplicaciones de WebSphere que tengan acceso también a DB2 para z/OS. Cuando está seleccionada la Identidad RunAs habilitada del gestor de conexiones, se utiliza la identidad Java EE (la identidad del cliente, de manera predeterminada), en lugar de la identidad del sistema operativo (identidad del servidor), para establecer conexiones con DB2 para z/OS. El acceso a las tablas de DB2 para z/OS de la aplicación se determina utilizando la política de seguridad preexistente de DB2 para z/OS.
Cualquier conector J2CA que utilice el soporte de identidad de hebra debe dar soporte a la identidad de hebra. CICS (Customer Information Control System), IMS (Information Management System) y DATABASE 2 (DB2) dan soporte a la identidad de hebra. CICS y IMS sólo dan soporte a la identidad de hebra si CICS o IMS se han configurado en el mismo sistema que el servidor de aplicaciones para z/OS. DB2 siempre da soporte a la identidad de hebra. Si un conector no da soporte a la identidad de hebra, la identidad de usuario asociada a la conexión se basa en la identidad de usuario por omisión soportada por el conector concreto.
Información | Valor |
---|---|
Tipo de datos | Booleano |
Valor predeterminado | Inhabilitado |
Rango | Habilitado o Inhabilitado |