[z/OS]

Mapear um Proprietário de Registro para um ID de Usuário do System Authorization Facility Utilizando um Módulo de Login Java Authentication and Authorization Services

É possível usar um módulo de login do JAAS (Java™ Authentication and Authorization Services) para mapear um proprietário de registro para o ID de usuário do SAF (System Authorization Facility).

Nota: Se estiver usando o recurso de mapeamento de identidade distribuída SAF, não será necessário configurar um módulo de mapeamento.

O conjunto de atributos bem definidos a seguir utilizados no mapeamento do WebSphere Application Server são definidos na classe com.ibm.wsspi.security.token.AttributeNameConstants, disponível no arquivo sas.jar:

com.ibm.wsspi.security.token.AttributeNameConstants.ZOS_USERID

Utilize esse atributo para configurar o valor do ID de usuário do MVS quando uma operação que requerer um ID de usuário SAF do z/OS for executada. Se não for especificado um valor, o WebSphere Application Server utilizará o usuário não autenticado para estabelecer um ID de usuário SAF. Esse ID de usuário SAF deve ser um ID de usuário válido do MVS.

com.ibm.wsspi.security.token.AttributeNameConstants.ZOS_AUDIT_STRING

Utilize esse atributo para indicar que a cadeia especificada será colocada na propriedade X500Name durante a criação de um ACEE (Access Control Environment Element) do RACF (Resource Access Control Facility).

Esse atributo associa uma cadeia de auditoria a um usuário SAF, que é exibido em um registro SMF (System Management Facility) quando uma das seguintes ações é executada: É admissível inserir um máximo de 223 caracteres nesse campo. Se o valor especificado for maior do que 223 caracteres, apenas os primeiros 223 caracteres serão utilizados. Se esse valor for omitido, os dados de auditoria não será incluído ao construir um proprietário. Qualquer dado de auditoria registrado nesse campo é prefixado com a sequência de registro de auditoria SMF "ID do Usuário do Mapeado do WebSphere".

com.ibm.wsspi.security.token.AttributeName.Constants.CALLER_PRINCIPAL_CLASS

Utilize esse campo opcional para indicar qual classe de proprietário em um assunto JAAS será retornada ao utilizar as APIs getCallerPrincipal e getUserPrincipal.

Esse proprietário pode ser criado por um dos seguintes mecanismos:
  • Tempo de execução do WebSphere Application Server
  • Um módulo de login JAAS

O valor padrão deste campo é com.ibm.websphere.security.auth.WSPrincipal. O uso desse valor padrão retorna o nome do proprietário do WebSphere Application Server no registro configurado do WebSphere Application Server.

Para retornar um principal do SAF mapeado, especifique com.ibm.ws.security.zos.Principal. Se um valor for especificado, mas nenhum proprietário corresponder ao valor CALLER_PRINCIPAL_CLASS especificado, o valor retornado indicará um usuário não autenticado. Especificar getUserInRole retorna um valor nulo e especificar getCallerPrincipal() retorna uma sequência que indica que o usuário não é autenticado.

Nota: Algumas identidades de rede não são processadas utilizando o módulo de mapeamento fornecido:
Identidade do Servidor
Essa identidade é sempre mapeada para o ID do usuário do processo e é designada pelo perfil STARTED.
A identidade SAF correspondente ao usuário UNAUTHENTICATED
A identidade SAF correspondente ao usuário UNAUTHENTICATED significa que não há identidade de rede. Esse valor é configurado utilizando o WebSphere z/OS Profile Management Tool ou o comando zpmt e pode ser modificado utilizando o console administrativo. Recomenda-se criar a identidade SAF para usuários não autenticados com o atributo RESTRICTED.

Ícone que indica o tipo de tópico Tópico de Referência



Ícone de registro de data e hora Última atualização: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rsec_jaaslogmod
Nome do arquivo: rsec_jaaslogmod.html