[z/OS]

Protegendo os Adaptadores Locais Otimizados para Suporte de Saída

Use esta tarefa quando desejar configurar a segurança para adaptadores locais otimizados que executam as chamadas de saída.

Antes de Iniciar

Execute os servidores do WebSphere Application Server for z/OS com a segurança global e ative a opção Encadeamento Sincronizar com o S.O. se você desejar usar as APIs do adaptador local otimizado com esses servidores. Para ler sobre a segurança global, consulte o tópico, Ativando a Segurança. Para ler mais sobre como ativar a opção Sincronização para Encadeamento do S.O., consulte o tópico Opções de Segurança do z/OS.

Alternativamente, o administrador do sistema pode fornecer um nome de usuário e uma senha na connection factory de adaptadores locais otimizados ou o desenvolvedor de aplicativos pode fornecer um nome de usuário e uma senha no objeto ConnectionSpec, que é usado para obter uma conexão a partir da connection factory de adaptadores locais otimizados. Um login é executado usando esta combinação de nome de usuário e senha e o ID do usuário do MVS associado ao nome de usuário é usado ao fazer solicitações de adaptadores locais otimizados a partir desta conexão. Se não houver ID do usuário do MVS associado a este nome de usuário, um ID do usuário do MVS não será usado ao fazer solicitações de adaptadores locais otimizados a partir desta conexão.

O acesso local aos servidores do WebSphere Application Server for z/OS é protegido pela classe System Authorization Facility (SAF) CBIND. Essa classe é definida durante a criação do perfil e é usada para proteger os servidores do WebSphere Application Server for z/OS quando solicitações de conexão do cliente local do Internet Inter-ORB Protocol (IIOP) e solicitações de adaptadores locais forem feitas. Antes de executar qualquer aplicativo que use a API de Registro, certifique-se de conceder acesso READ para o ID do usuário para a tarefa, processo UNIX System Services (USS) ou região Customer Information Control System (CICS) para a classe CBIND para o servidor de destino. Isso é configurado com a tarefa BBOCBRAK. Para obter informações adicionais sobre a classe CBIND, leia o tópico, Usando CBIND para controlar o acesso aos clusters.

Para chamar de um WebSphere Application Server para um aplicativo usando uma das APIs Serviço de Host e Receber Solicitação dos adaptadores locais otimizados, a identidade no encadeamento no qual a API foi chamada será usada. Para ambientes diferentes do CICS, não há nenhuma tentativa por parte dos adaptadores locais otimizados em fazer asserção da identidade do aplicativo WebSphere Application Server. Isto inclui regiões dependentes do Information Management System (IMS). Para isso, as transações são iniciadas no ID do usuário que iniciou a transação. Isto inclui regiões dependentes do IMS. Para essas regiões, as transações são iniciadas no ID do usuário que iniciou a transação.

Quando o trabalho da transação passar entre o CICS e o WebSphere Application Server for z/OS, seja para entrada ou saída, você deverá levar em conta algumas considerações de segurança especiais. Por exemplo, é necessário determinar se a autenticação para a entrada do trabalho do WebSphere Application Server deve ser executada com a autoridade do aplicativo CICS específico ou com a autoridade da região geral do CICS. Há questões semelhantes quando o WebSphere Application Server envia o trabalho de saída para um aplicativo CICS; é necessário determinar se o CICS deve honrar a autoridade do aplicativo de origem ou o próprio perfil de segurança atual do CICS.
Atenção: Certifique-se de que os aplicativos clientes sejam autenticados para que o CICS processe a solicitação.

Para receber solicitações no CICS e processá-las com o servidor CICS Link (tarefa BBO$) do adaptador local otimizado, você poderá indicar quando iniciar o servidor de Link para que este faça a asserção da identidade no nível de encadeamento do WebSphere Application Server propagado para o encadeamento do CICS no qual o programa de destino é iniciado. Isto é feito com um parâmetro na transação CICS BBOC de adaptadores locais otimizados.

Sobre Esta Tarefa

As seguintes etapas incluem as tarefas que devem ser concluídas para proteger os adaptadores locais otimizados para uma chamada de saída:

Procedimento

Configure as configurações de segurança. Ao usar as APIs Serviço de Host ou Receber Pedido de adaptadores locais otimizados em um aplicativo que está em execução no CICS, é usada a autoridade do aplicativo CICS que chamou estas APIs. Quando usar o servidor CICS Link de adaptadores locais otimizados, é possível indicar que você deseja que a tarefa do servidor de Link, BBO$, faça a asserção da identidade do WebSphere Application Server antes de chamar o programa de destino da seguinte forma:
  1. Na transação CICS BBOC de adaptadores locais otimizados que está sendo usada para iniciar o servidor de Link (com BBOC START_SRVR), transmita o parâmetro SEC=Y. Quando isso é especificado, a tarefa do servidor de Link, BBO$, dos adaptadores locais otimizados inicia a tarefa de link, BBO#, com a identidade que foi propagada a partir da chamada do encadeamento do WebSphere Application Server.
  2. Certifique-se de que a região do CICS esteja em execução com a segurança ativada e a verificação de EXEC CICS START ativada. A segurança é ativada na inicialização com o parâmetro SEC=YES. A verificação EXEC CICS START é ativada na inicialização com o parâmetro XUSER=YES.
  3. Crie uma classe SAF substitua que concede a identidade com a qual o servidor de Link dos adaptadores locais otimizados está em execução com a autoridade para emitir EXEC CICS START TRANSACTION API e passar USERID que foi propagado para o CICS a partir do WebSphere Application Server. A seguir está uma amostra que mostra uma classe substituta definida para o ID do usuário USER1, que permite que o ID do usuário OLASERVE emita EXEC CICS START TRANS(BBO#) USERID(USER1) e processe transações de Link CICS de adaptadores locais otimizados executadas com a identidade de USER1.
    RDEFINE SURROGAT USER1.DFHSTART UACC(NONE) OWNER(USER1)  
    PERMIT USER1.DFHSTART CLASS(SURROGAT) ID(USER1)          
    PERMIT USER1.DFHSTART CLASS(SURROGAT) ID(OLASERVE)       
    SETROPTS RACLIST(SURROGAT) REFRESH 

Resultados

Você pode configurar a segurança para conexões de adaptadores locais otimizados.

O que Fazer Depois

Para obter informações adicionais sobre o uso da segurança com o IMS, consulte o tópico Considerações de Segurança ao Usar Adaptadores Locais Otimizados com o IMS.

Ícone que indica o tipo de tópico Tópico de Tarefa



Ícone de registro de data e hora Última atualização: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tdat_security_out
Nome do arquivo: tdat_security_out.html