[z/OS]

Protegendo os Adaptadores Locais Otimizados para Suporte de Entrada

Use esta tarefa para configurar a segurança para adaptadores locais otimizados que executam as chamadas de entrada.

Antes de Iniciar

Execute os servidores do WebSphere Application Server for z/OS com a segurança global e ative a opção Encadeamento Sincronizar com o S.O. se você desejar usar as APIs do adaptador local otimizado com esses servidores. Para ler sobre a segurança global, consulte o tópico, Ativando a Segurança. Para ler mais sobre como ativar a opção Sincronização para Encadeamento do S.O., consulte o tópico Opções de Segurança do z/OS.

O acesso local aos servidores do WebSphere Application Server for z/OS é protegido pela classe System Authorization Facility (SAF) CBIND. Essa classe é definida durante a criação do perfil e é usada para proteger os servidores do WebSphere Application Server for z/OS quando solicitações de conexão do cliente local do Internet Inter-ORB Protocol (IIOP) e solicitações de adaptadores locais forem feitas. Antes de executar qualquer aplicativo que use a API de Registro, certifique-se de conceder acesso READ para o ID do usuário para a tarefa, processo UNIX System Services (USS) ou região Customer Information Control System (CICS) para a classe CBIND para o servidor de destino. Isto é configurado com a tarefa BBOCBRAK. Para obter informações adicionais sobre a classe CBIND, leia o tópico, Usando CBIND para controlar o acesso aos clusters.

Todas as solicitações de entrada para o WebSphere Application Server são executadas na autoridade do usuário atual no encadeamento. Essa identidade é propagada automaticamente, é asserida no contêiner do Enterprise JavaBeans (EJB) e é a identidade sob a qual o aplicativo é iniciado. Os pedidos de entrada que são conduzidos para um enterprise bean de destino chegam da mesma maneira que as solicitações de método para os pedidos IIOP locais e as opções de segurança para RunAs trabalham da mesma maneira que os pedidos IIOP locais

Quando o trabalho da transação passar entre o CICS e o WebSphere Application Server for z/OS, seja para entrada ou saída, você deverá levar em conta algumas considerações de segurança especiais. Por exemplo, você deve determinar se a autenticação para a entrada do trabalho do WebSphere Application Server deve ser executada com a autoridade do aplicativo CICS específico ou com a autoridade da região geral do CICS. Há questões semelhantes quando o WebSphere Application Server envia o trabalho de saída para um aplicativo CICS; você deve determinar se o CICS deve honrar a autoridade do aplicativo de origem ou o próprio perfil de segurança atual do CICS.
Atenção: Você deve certificar-se de que os aplicativos clientes sejam autenticados para que o CICS processe a solicitação.

Para passar pedidos para o WebSphere Application Server a partir do CICS, poderá indicar que deseja usar a identidade do aplicativo CICS atual para configurar um sinalizador para isso com a chamada de API Registrar.

Sobre Esta Tarefa

As seguintes etapas incluem as tarefas que devem ser concluídas para proteger os adaptadores locais otimizados para uma chamada de entrada:

Procedimento

Configure as configurações de segurança. O tipo de propagação de identidade de segurança é especificado nos sinalizadores de registro quando o pedido de conexão de adaptadores locais otimizados for feito na chamada para BBOA1REG. É possível selecionar a região do CICS ou o perfil de segurança do aplicativo.
Atenção: Para que isto funcione corretamente, você precisa ter a segurança em nível do aplicativo do CICS ativada com a opção de inicialização SEC=YES do CICS.
Além disso, o usuário do aplicativo CICS pode ser propagado e asserido apenas no encadeamento do WebSphere Application Server quando a variável de ambiente ola_cicsuser_identity_propagate for configurada para 1. Isso fornece controle desse comportamento para ser gerenciado pelo programador do sistema WebSphere Application Server. Quando esta opção estiver configurada como 0 (o padrão), e a API Registrar chamar aplicativos CICS que selecionam a propagação em nível do aplicativo, ocorrerá um erro. Para obter informações adicionais sobre a variável de ambiente, consulte o tópico, Variáveis de ambiente de adaptadores locais otimizados.

Configure a variável de ambiente para permitir que identidades em nível do aplicativo do CICS sejam usadas para autenticação quando for feito o pedido de registro. É possível configurar a variável no console administrativo da seguinte maneira:

  1. Clique em Ambiente > Variáveis do WebSphere.
  2. Em Escopo, selecione a Célula da lista suspensa Mostrar seleção de escopo. Se a variável de ambiente ola_cicsuser_identity_propagate for exibida na lista de recursos, você não precisa incluí-la novamente. É possível continuar com a etapa c. Se você não tiver incluído a variável à lista de recursos, deverá clicar em Incluir. A variável de ambiente ola_cicsuser_identity_propagate deve ser incluída à lista de exibição na primeira vez em que executar essa tarefa. Sempre após a adição inicial, você conseguirá selecionar ola_cicsuser_identity_propagate na lista de exibição depois de configurar o escopo.
  3. Clique em ola_cicsuser_identity_propagate Uma janela exibe as Propriedades Gerais em que você pode configurar a variável
  4. Configure a variável de ambiente do WebSphere Application Server como 1. Se você configurar a variável de ambiente para 0 (zero) ou deixá-la indefinida, a segurança no nível do aplicativo CICS não será honrada em uma chamada recebida para WebSphere Application Server.
  5. Clique em Aplicar e em OK.

Resultados

Você pode configurar a segurança para conexões de entrada de adaptadores locais otimizados.

O que Fazer Depois

Para obter informações adicionais sobre o uso da segurança com o IMS, consulte o tópico Considerações de Segurança ao Usar Adaptadores Locais Otimizados com o IMS.

Ícone que indica o tipo de tópico Tópico de Tarefa



Ícone de registro de data e hora Última atualização: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tdat_security_in
Nome do arquivo: tdat_security_in.html