![[z/OS]](../images/ngzos.gif)
操作系统级别和应用程序级别的系统授权工具注意事项
在操作系统级别和应用程序级别启用系统授权工具 (SAF) 授权时,需要考虑一些事项。
- 可以在操作系统级别保护资源。如果程序访问受保护的资源,那么资源管理器将调用 SAF 以便让安全管理器(通常是 RACF®)执行授权检查。
- 可以在应用程序级别上保护资源。如果 Java™ Platform, Enterprise Edition (Java EE) 应用程序具有安全性约束,那么容器将调用 SAF 以便让安全管理器 (RACF) 执行授权检查。
启用 SAF 授权后,任何级别的授权都始终由操作系统的安全管理器(RACF 或等效产品)执行。因此,用户使用安全管理器 (RACF) 用户标识进行认证至关重要。请参阅控件总结以了解更多信息。
如果在系统定制期间选择了“SAF 授权”,那么所有管理角色的管理 EJBROLE 概要文件都由使用 z/OS Profile Management Tool 或 zpmt 命令所生成的 RACF 作业定义。可以将“SAF 授权”(使用 SAF EJBROLE 概要文件来将 SAF 用户和组指定到角色)用作所有用户注册表的授权机制。如果在管理控制台中选择了 SAF 授权,那么它将覆盖任何其他授权选项(例如 Tivoli® Access Manager 授权)。
如果未选择本地操作系统,那么必须使用两个选项的其中一个将分布式身份映射至 SAF 用户标识。可配置并安装 Java 认证和授权服务 (JAAS) 登录模块以执行映射,或者在 WebSphere Application Server V8.0 中,可使用 SAF 分布式身份映射功能。
注意,非本地操作系统注册表也支持 SAF 授权。如果打开 SAF,那么它将成为缺省提供程序(将处理命名和管理功能)。请启用 SAF,它将成为本机授权提供程序。
有关更多信息,请参阅选择注册表或存储库。
- 每个人
- 启用 SAF 授权时,SAF 将使用用户认证来实施对 Web 应用程序的访问。如果选择“每个人”设置,那么注册表中定义的任何用户都可以登录到 Web 应用程序,并且主体集或主体将得到认证。
WebSphere Application Server for z/OS 使用缺省(未认证的)用户标识和一个 ACEE,该 ACEE 用于检查使用 RESTRICTED 属性定义的 ACCESS(READ) 访问权。因此,通用访问权限 (UACC) 不适用。当 SAF 不对 ejbrole 实施认证时,如果您希望任何人都能够访问特定角色,那么您必须为缺省(未认证的)用户标识授予 ACCESS(READ) 访问权,以使请求能够在未经认证的情况下运行。如果不为缺省用户标识授予 ACCESS(READ) 访问权,那么 RACF 将对未经认证的请求返回 false。
- 所有已认证
- 可以允许用户注册表中的任何名称登录到 Web 应用程序(所有用户名都在登录时接受认证)。必须对所访问的概要文件定义 UACC(READ),并且不要对缺省用户标识发出 RACF PERMIT 命令。
注: 通用访问权限不适用于定义了 RESTRICTED 属性的用户。例如,如果要让未经认证的 WebSphere 身份对 EJBROLE 具有 READ 访问权,那么必须显式地将 READ 许可权授予此标识,而不考虑 UACC 设置。
在使用“本地操作系统注册表”时,可以控制对控制台用户的访问权。
如果您以后决定启用 SAF 授权,那么必须发出这些 RACF 命令以启用正确的 WebSphere Application Server 操作。(如果已选择另一个未经认证的用户标识,请更改已配置的缺省用户标识的值。)