![[z/OS]](../images/ngzos.gif)
Options de sécurité z/OS
Cette page permet de déterminer les options de sécurité globale à spécifier pour le serveur d'applications sur z/OS.
Pour afficher cette page de la console d'administration, cliquez sur
.- Cliquez sur .
- Sous Sécurité, cliquez sur Domaine du serveur.
- Cliquez sur Options de sécurité z/OS.
Si vous configurez la sécurité pour la première fois, suivez les étapes de l'article relatif à la sécurité globale avant d'effectuer des modifications. Une fois la sécurité configurée, validez les modifications apportées aux panneaux du registre d'utilisateurs ou du mécanisme d'authentification. Cliquez sur Valider pour valider les paramètres du registre d'utilisateurs. L'authentification de l'ID serveur est tentée dans le registre d'utilisateurs configuré. La validation des paramètres du registre d'utilisateurs une fois que vous avez activé la sécurité globale peut éviter des incidents lors du prochaine redémarrage du serveur.
l'identité distante,
Spécifie l'ID utilisateur SAF (System Authorization Facility) utilisée pour les clients non authentifiés IIOP (Internet Inter-ORB Protocol) qui envoient des demandes sur ce serveur à partir d'un autre système.
Indique si une identité distante d'application est autorisée.
Identité locale
Spécifie l'ID utilisateur SAF utilisée pour les clients non authentifiés IIOP (Internet Inter-ORB Protocol) qui envoient des demandes sur ce serveur à partir du même système.
Indique si une identité locale d'application est autorisée.
Activer la synchronisation des identités d'unité d'exécution des serveurs d'applications et de z/OS
Indique que les serveurs d'applications peuvent traiter l'option SyncToOSThread pour les composants d'application qui la spécifient.
La sélection de cette option permet d'indiquer si l'identité de l'unité d'exécution du système d'exploitation est activée pour la synchronisation avec l'identité Java™ Platform, Enterprise Edition (Java EE) utilisée au cours de l'exécution du serveur d'applications lorsqu'une application est codée pour demander cette fonction.
Synchroniser l'identité du système d'exploitation à l'identité Java EE entraîne la synchronisation de l'identité du système d'exploitation à l'appelant authentifié, ou à l'identité RunAs déléguée dans un fichier servlet ou EJB (Enterprise JavaBeans). Cette synchronisation ou cette association signifie que c'est l'identité de l'appelant ou du rôle de sécurité, plutôt que l'identité de région du serveur, qui est utilisée pour les demandes de service système z/OS, comme l'accès aux fichiers.
- La valeur Synchronisation autorisée avec l'unité d'exécution du système est true.
- Une application contient dans son descripteur de déploiement un paramètre env-entry de com.ibm.websphere.security.SyncToOSThread ayant la valeur true.
- Le référentiel de comptes utilisateur configuré est le système d'exploitation local.
Lorsque ces conditions sont réunies, l'identité de l'unité d'exécution du système d'exploitation est définie initialement comme l'identité de l'appelant authentifié d'une demande Web ou EJB. L'unité d'exécution du système d'exploitation est modifiée à chaque modification de l'identité Java EE. L'identité Java EE peut être modifiée soit par une spécification RunAs sur le descripteur de déploiement ou par une demande de programmation WSSubject.doAs().
Si la valeur autorisée de l'unité d'exécution de synchronisation au système d'exploitation local est false, qui est le paramètre par défaut, la fonction de modification de l'identité, sur l'unité d'exécution du système d'exploitation, du paramètre de descripteur de déploiement de l'application installée est désactivée. Si le serveur n'est pas configuré pour accepter l'activation de la synchronisation et que le descripteur de déploiement d'application, com.ibm.websphere.security.SyncToOSThread, a la valeur true, un message d'avertissement BBOJ0080W indique que l'EJB demande l'option SyncToOSThread, mais que le serveur n'est pas activé pour cette option.
Important : Cette option augmente considérablement le nombre d'enregistrements SMF 80 utilisés pour l'audit de la sécurité. Lorsque l'audit de sécurité est activé pour des enregistrements SMF 80, la quantité de DASD utilisés augmente fortement.
Activer l'identité d'unité d'exécution RunAs du gestionnaire des connexions
Définit l'identité MVS associée à l'identité Java Platform, Enterprise Edition (Java EE) sur l'unité d'exécution. Les connecteurs J2CA (Java EE Connector Architecture) locaux peuvent reconnaître l'identité MVS pour l'authentification et l'autorisation lorsqu'une application demande une connexion.
- L'autorisation de ressource est définie comme gérée par le conteneur (res-auth=container).
- Une entrée d'alias n'est pas codée lors du déploiement de l'application.
- Le paramètre Synchronisation avec l'unité d'exécution du système d'exploitation par le gestionnaire de connexions a la valeur enabled.
Par exemple, si vous disposez d'une règle de sécurité DB2 for z/OS préexistante qui contrôle les utilisateurs ayant accès à chaque table, vous pouvez l'appliquer lorsque des utilisateurs accèdent à des applications WebSphere accédant également à DB2 for z/OS. L'identité Java EE (identité du client par défaut) est utilisée au lieu de l'identité du système d'exploitation pour établir des connexions à DB2 for z/OS lorsque l'option Identité RunAs du gestionnaire de connexions activée est sélectionnée. L'accès aux tables DB2 for z/OS par l'application est déterminé par la règle de sécurité DB2 for z/OS préexistante.
Tout connecteur J2CA qui utilise l'identité d'unité d'exécution doit prendre en charge cette identité. CICS (Customer Information Control System), IMS (Information Management System) et DB2)(DATABASE 2) prennent en charge l'identité d'unité d'exécution. CICS et IMS ne prennent charge l'identité d'unité d'exécution que si le système CICS ou IMS cible est configuré sur le même système que le serveur d'applications pour z/OS. DB2 prend toujours en charge l'identité d'unité d'exécution. Si un connecteur ne la prend pas en charge, l'identité de l'utilisateur associé à la connexion est basée sur l'identité de l'utilisateur par défaut qui est prise en charge par ce connecteur spécifique.
Information | valeur |
---|---|
Type de données | Booléenne |
Valeut par défaut | Désactivée |
Intervalle | Activé ou désactivé |