![[z/OS]](../images/ngzos.gif)
对 IMS 使用优化本地适配器时的安全性注意事项
本主题回顾了对 IMS™ 使用优化本地适配器时的安全性注意事项。
- MPR (MPP)
- 快速路径 (IFP)
- 成批消息处理 (BMP)
- 批处理 DL/I
可以采用多种方式使用户身份与当前 IMS 任务及其 TCB 相关联。对于 BMP,作业用户标识就是需要访问 CBIND 类的身份。对于 IFP 和 MPP,可以采用另一种方式设置 TCB 上的用户身份。如果 IMS 环境的 SECURITY 宏指定 SECLVL=(TRANAUTH,SIGNON),那么在进行本地 SAF 数据库和 SAF 认证时,需要登录时所提供的用户标识。此外,将使用 SAF 来检查事务访问权。
使用这些选项运行并且使用“构建安全性环境”时,出口 DFSBSEX0 会将返回码 4 传递回 IMS。然后,IMS 将确保分派事务的 TCB 与已认证的 SAF 标识同步。
应用程序用户的用户标识需要对成功的优化本地适配器注册 API 调用的 WebSphere Application Server CBIND SAF 类具有读访问权。调用者使用开放式事务管理器访问 (OTMA) 协议发起的 IMS 事务使用 OTMASE 参数来确定是否已更新当前线程/TCB 安全上下文。将 OTMASE 参数设置为 OTMASE=FULL 表明 OTMA 客户机调用所传入的标识是 MPP 或 IFP 的线程上的标识。在此方案中,客户机标识需要对 CBIND 类具有读访问权。
当事务工作从 IMS 传递到 WebSphere Application Server for z/OS® 时,会将用户标识传播到 WebSphere Application Server EJB 容器中并进行声明。
当使用优化本地适配器并通过 OTMA 来调用现有未更改的 IMS 事务时,可以将当前 WebSphere Application Server 客户机的标识传播到在消息处理 (MPR) 和快速路径 (IFP) 从属区域中已实现和已声明的 IMS 事务。为此,请确保将 WebSphere 服务器配置为在启用了“SyncToOS 线程”选项的情况下运行。要了解有关激活“SyncToOS 线程”选项的更多信息,请参阅“z/OS 安全性选项”主题。一旦启用了“SyncToOS 线程”,请确保目标 IMS 环境的 OTMASE 参数设置为 F, FULL。按此方式配置这些选项之后,该用户在 WebSphere Application Server 环境中的标识将传播到 IMS MPP 或 IFP 并进行声明。这不适用于“成批消息处理”(BMP) 从属区域。
