![[z/OS]](../images/ngzos.gif)
使用“SAF 授权”来控制对命名角色的访问时的特殊注意事项
在 WebSphere® Application Server 中控制对命名角色的访问时有一些特殊注意事项。
当您对命名角色指定用户时,可以使用系统授权工具 (SAF) 授权(EJBROLE 概要文件)或者 WebSphere Application Server 授权来控制对命名角色的访问。要启用“SAF 授权”,请参阅z/OS 系统授权工具授权,以了解更多信息。对于 CosNaming 角色的讨论,请参阅管理控制台和命名服务授权。您也可以参阅对命名角色指定用户。
当启用“SAF 授权”时,使用 SAF EJBROLE 概要文件来控制对 CosNaming 功能的访问。如果您在创建概要文件期间在 z/OS®
Profile Management Tool 中选择了使用 z/OS
安全性产品,并且还为 SAF 概要文件前缀(以前称为 z/OS
安全域)指定了值,那么定制作业已定义下列 CosNaming 角色:
RDEFINE EJBROLE (optionalSecurityDomainName.)CosNamingRead UACC(READ) RDEFINE EJBROLE (optionalSecurityDomainName.)CosNamingWrite UACC(NONE) RDEFINE EJBROLE (optionalSecurityDomainName.)CosNamingCreate UACC(NONE) RDEFINE EJBROLE (optionalSecurityDomainName.)CosNamingDelete UACC(NONE) PERMIT (optionalSecurityDomainName.)CosNamingRead CLASS(EJBROLE) ID(WSGUEST) ACCESS(READ) PERMIT (optionalSecurityDomainName.)CosNamingWrite CLASS(EJBROLE) ID(WSCFG1) ACCESS(READ) PERMIT (optionalSecurityDomainName.)CosNamingCreate CLASS(EJBROLE) ID(WSCFG1) ACCESS(READ) PERMIT (optionalSecurityDomainName.)CosNamingDelete CLASS(EJBROLE) ID(WSCFG1) ACCESS(READ)
如果决定以后再启用“SAF 授权”,那么必须发出这些 RACF® 命令来启用正确的 WebSphere Application Server 操作。如果已选择另一个未经认证的用户标识,请更改值 WSGUEST。如果已选择另一个配置组,请更改值 WSCFG1。因为 WSGUEST 是受限用户标识,所以必须给它授予显式读访问权。
由定制作业授予的缺省访问权允许所有已认证的用户读取名称空间。此类型的授权可能比您要提供的授权级别更广泛。至少,必须使 WebSphere Application Server 的配置组(服务器和管理员)对所有概要文件具有读访问权,并且允许所有 WebSphere Application Server for z/OS 客户机对 CosNamingRead 概要文件具有读访问权。
如果其他用户需要访问 CosNaming 角色,那么可以通过发出以下 RACF 命令来允许用户具有先前所指示的任何角色:
PERMIT (optionalSAFProfilePrefix.)rolename CLASS(EJBROLE) ID(mvsid) ACCESS(READ)
未启用“SAF 授权”时,将使用 WebSphere Application Server 授权和管理控制台来控制对 CosNaming 功能的访问。
有关使用 WebSphere Application Server 授权来控制对命名角色的访问的信息,请参阅对命名角色指定用户。