[z/OS]

Sécurisation des adaptateurs locaux optimisés pour la prise en charge des appels en sortie

Cette tâche permet de configurer la sécurité des connexions des adaptateurs locaux optimisés qui effectuent des appels en sortie.

Avant de commencer

Exécutez les serveurs WebSphere Application Server for z/OS avec la sécurité globale et activez l'option d'unité d'exécution synchronisée avec le système d'exploitation si vous comptez utiliser les API d'adaptateurs locaux optimisés avec ces serveurs. Pour en savoir plus sur la sécurité globale, voir la rubrique Activation de la sécurité. Pour en savoir plus sur l'activation de l'option d'unité d'exécution synchronisée avec le système d'exploitation, voir la rubrique "Options de sécurité de z/OS".

L'administrateur système peut également fournir un nom d'utilisateur et un mot de passe sur la fabrique de connexions des adaptateurs locaux optimisés, sinon le développeur d'application peut fournir un nom d'utilisateur et un mot de passe sur l'objet ConnectionSpec, utilisé pour obtenir une connexion à partir de la fabrique de connexions des adaptateurs locaux optimisés. Une connexion est effectuée en utilisant ce nom d'utilisateur et ce mot de passe. De plus, l'ID utilisateur MVS associé au nom d'utilisateur est utilisé lors de l'établissement de demandes locales optimisées à partir de cette connexion. S'il n'existe pas d'ID utilisateur MVS associé à ce nom d'utilisateur, alors aucun nom d'utilisateur MVS n'est utilisé lors de l'établissement de demandes d'adaptateurs locaux optimisés à partir de cette connexion.

L'accès local aux serveurs WebSphere Application Server for z/OS est protégé par la classe CBIND SAF (System Authorization Facility). Cette classe est définie pendant la création du profil et est utilisée pour protéger les serveurs WebSphere Application Server for z/OS quand les demandes de connexion client locales IIOP (Internet Inter-ORB Protocol) sont effectuées et pour les requêtes des adaptateurs locaux optimisés. Avant l'exécution de toute application qui utilise l'API Register, assurez-vous que l'accès en mode lecture est accordé à l'ID utilisateur pour le travail, ainsi que le processus USS (UNIX System Services) ou la région CICS (Customer Information Control System) à la classe CBIND pour le serveur cible. Cette configuration s'effectue avec le travail BBOCBRAK. Pour plus d'informations sur la classe CBIND, lisez la rubrique Utilisation de CBIND pour contrôler l'accès aux clusters.

Pour les appels envoyés par WebSphere Application Server à une application avec les API Host Service et Receive Request des adaptateurs locaux optimisés, l'identité utilisée est celle de l'unité d'exécution sur laquelle l'API a été appelée. Pour les environnements autres que CICS, les adaptateurs locaux optimisés ne tentent pas d'affirmer par assertion l'identité de l'application WebSphere Application Server. Cela concerne, entre autres, les régions dépendantes d'Information Management System (IMS). Pour ces régions, les transactions démarrent sous l'ID de l'utilisateur qui les a lancées. Cela concerne, entre autres, les régions dépendantes d'Information Management System (IMS). Pour ces régions, les transactions démarrent sous l'ID de l'utilisateur qui les a lancées.

Lorsqu'un travail de transaction circule entre CICS et WebSphere Application Server for z/OS, que ce soit dans un sens ou dans l'autre, vous devez prendre en considération certains points concernant la sécurité. Par exemple, vous devez déterminer si l'authentification d'un travail soumis à l'entrée de WebSphere Application Server doit se faire avec l'autorité de l'application CICS spécifique ou avec celle de toute la région CICS. Les mêmes questions se posent lorsque WebSphere Application Server soumet un travail à une application CICS ; vous devez déterminer si CICS doit respecter l'autorité de l'application d'origine ou son propre profil de sécurité CICS en cours.
Avertissement : Assurez-vous que les applications client sont authentifiées afin que CICS traite leurs demandes.

Pour recevoir les requêtes dans CICS et les traiter avec le serveur Link CICS de l'adaptateur local optimisé (tâche BBO$), vous pouvez indiquer, lors du lancement du serveur Link, que ce dernier doit propager et affirmer par assertion l'identité d'exécution de WebSphere Application Server dans l'unité d'exécution de CICS dans laquelle le programme cible démarre. Vous pouvez le faire avec un paramètre ajouté dans la transaction CICS BBOC des adaptateurs locaux optimisés.

Pourquoi et quand exécuter cette tâche

Les étapes suivantes comprennent les tâches que vous devez effectuer pour sécuriser les adaptateurs locaux optimisés pour un appel sortant :

Procédure

Configurez les paramètres de sécurité. Lorsque vous utilisez les API Host Service ou Receive Request des adaptateurs locaux optimisés dans une application qui s'exécute sous CICS, les droits d'accès de l'application CICS qui appelle ces API sont utilisés. Lorsque vous utilisez le serveur Link CICS des adaptateurs locaux optimisés, vous pouvez effectuer les étapes suivantes pour indiquer que la tâche du serveur Link BBO$ doit affirmer par assertion l'identité de WebSphere Application Server avant d'appeler le programme cible :
  1. Dans la transaction CICS BBOC des adaptateurs locaux optimisés que vous utilisez pour démarrer le serveur Link (avec BBOC START_SRVR), ajoutez le paramètre SEC=Y. Une fois ce paramètre spécifié, la tâche BBO$ du serveur Link des adaptateurs locaux optimisés lance la tâche de liaison BBO# avec l'identité qui a été propagée à partir de l'appel de l'unité d'exécution de WebSphere Application Server.
  2. Assurez-vous que la région CICS est en cours d'exécution avec la sécurité et la vérification EXEC CICS START activées. La sécurité s'active au démarrage avec le paramètre SEC=YES. La vérification EXEC CICS START est activée au démarrage avec le paramètre XUSER=YES.
  3. Créez une classe de substitution SAF qui accorde à l'identité sous laquelle le serveur Link des adaptateurs locaux optimisés s'exécute le droit d'émettre EXEC CICS START TRANSACTION API et transmettez le paramètre USERID qui a été propagé à CICS depuis WebSphere Application Server. L'exemple suivant montre une classe de substitution définie pour l'ID utilisateur USER1 qui permet à l'ID utilisateur OLASERVE d'émettre EXEC CICS START TRANS(BBO#) USERID(USER1) et de traiter les transactions du serveur Link CICS des adaptateurs locaux optimisés qui s'exécutent avec l'identité USER1.
    RDEFINE SURROGAT USER1.DFHSTART UACC(NONE) OWNER(USER1)  
    PERMIT USER1.DFHSTART CLASS(SURROGAT) ID(USER1)          
    PERMIT USER1.DFHSTART CLASS(SURROGAT) ID(OLASERVE)       
    SETROPTS RACLIST(SURROGAT) REFRESH 

Résultats

Vous avez défini la sécurité des connexions des adaptateurs locaux optimisés.

Que faire ensuite

Pour plus d'informations sur l'utilisation de la sécurité avec IMS, reportez-vous aux "Remarques sur la sécurité et l'utilisation d'adaptateurs locaux optimisés avec IMS".

Icône indiquant le type de rubrique Rubrique de tâche



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tdat_security_out
Nom du fichier : tdat_security_out.html