![[z/OS]](../images/ngzos.gif)
使可插拔登录模块能够将 Java EE 标识映射到系统授权工具 (SAF)
需要执行若干个操作以使任何可插拔登录模块能够正确地将 Java™ EE 标识映射到 SAF。这些操作包括配置活动 WebSphere® Application Server 用户注册表和配置可插拔映射模块。
开始之前
关于此任务
过程
- 将活动 WebSphere Application Server 用户注册表配置为轻量级目录访问协议 (LDAP) 注册表或定制注册表,并使用如下系统授权工具 (SAF) 服务:
- 控制 WebSphere Application Server 授权的系统授权工具 (SAF) EJBROLE 概要文件。请参阅基于角色的授权,以了解更多信息。
- 启用应用程序以运行 WebSphere Application Server 应用程序并设置操作系统 (OS) 标识以与 Java EE 标识匹配。这称为应用程序同步到操作系统线程。请参阅应用程序的“允许与操作系统线程同步”和何时使用应用程序“允许与操作系统线程同步”,以了解更多信息。
- 当发出本地本机连接器(例如 CICS®、信息管理系统 (IMS™)、Database 2 (DB2®) 或 Java 消息服务 (JMS))的连接管理请求时,使用 Java EE 客户机标识作为标识。请参阅Java Platform, Enterprise Edition 身份和操作系统线程身份,以了解更多信息。
- 使用 SMF 审计进行审计。请参阅有关使用 SMF 类型 80 以准备审计支持的信息。
- 您必须在适当的系统登录配置中配置可插拔映射模块(后跟 WebSphere Application Server for z/OS 提供的模块),以使用可插拔登录模块。如果选择了非本地操作系统的注册表,并且未进行映射或没有可用于特定标识的有效映射:
- 不支持 SAF 授权:如果选择了 SAF 授权并且方法是受保护的,那么该方法失败。
- 不支持应用程序同步到操作系统线程:请求总是使用服务方的用户标识来运行。
- 将 res-auth=container 指定给本机连接器并且未标识别名时,连接管理请求在服务方用户标识下运行。
- 在发生以下情况时可以使用可插拔登录模块:
- 指定的 WebSphere Application Server 认证机制是简单 WebSphere 认证机制 (SWAM) 或轻量级第三方认证 (LTPA)。在 WebSphere Application Server V9.0 中,不推荐使用 SWAM,在将来的发行版中将移除此认证机制。
- 协商的因特网 ORB 间协议 (IIOP) 认证协议使用公共安全互操作性 V2 (CSIV2)。
- 已发出 Web 请求。


http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_pluglogmodsracf
文件名:tsec_pluglogmodsracf.html