[z/OS]

WebSphere Application Server for z/OS 安全性

WebSphere® Application Server for z/OS® 支持通过分布式环境中的客户机和服务器来访问资源。并且确定如何控制对这些资源的访问以及防止有意或无意地破坏系统或数据。

在分布式网络中,必须考虑下列问题:
  • 必须授权服务器使用 z/OS 中的基本操作系统服务。这些服务包括系统授权工具 (SAF) 安全性、数据库管理和事务管理。
    • 对于服务器集群,您必须区别控制器和服务方之间的差别。控制器运行授权的系统代码,因此它们是可信的。服务方运行应用程序代码并被赋予对资源的访问权,因此您应该仔细考虑您赋予服务方的权限。
    • 您还必须区别运行时服务器的权限级别和您自己的应用程序服务器的权限级别。例如,节点需要启动其他集群的权限,而您自己的应用程序集群则不需要此权限。
  • 您必须对服务器和服务器中的对象授权客户机(用户)。每个客户机的属性需要特殊的注意事项:
    • 客户机在本地系统还是在远程?网络安全性成为远程客户机的注意事项。
    • 您允许未识别(未认证的)客户机访问系统吗? 您系统上的一些资源可能用于公共访问,而其他一些资源可能需要保护。为了访问受保护资源,客户机必须建立它们的标识并有使用那些资源的权限。
  • 认证是在特定上下文中建立客户机标识的过程。客户机可以是最终用户、机器或应用程序。z/OS 上 WebSphere Application Server 中的认证机制这一术语更具体地来说是指一种设施,WebSphere 在该设施中使用 HTTP 和“Java™ 管理扩展”(JMX) 设施来标识已认证的标识。配置单元时,您必须选择一种认证机制。认证机制的选项包括:
    • 简单 WebSphere 授权机制 (SWAM) - 仅在基本应用程序服务器上可用,而在 Network Deployment 配置上不可用
      注: 在 WebSphere Application Server V9.0 中,不推荐使用 SWAM,在将来的发行版中将除去此认证机制。
    • 轻量级第三方认证 (LTPA)
    • Kerberos
  • 用户注册表中包含的用户信息和组信息。在 WebSphere Application Server 中,用户注册表认证用户并检索有关用户和组的信息,以执行与安全性相关的功能(包括认证和授权)。提供了实现以支持多操作系统或基于操作环境的用户注册表。当配置单元时,您必须选择单个用户注册表。用户注册表可以是本地注册表或远程注册表。用户注册表的选项包括:
    • 基于 SAF 的本地注册表(这是定制期间对管理安全性选择 z/OS 安全性产品时的缺省值)
    • 独立轻量级目录访问协议 (LDAP) 注册表 - LDAP 可以是本地注册表或远程注册表
    • 独立定制用户注册表 - 设置定制用户注册表以满足唯一注册表需要。WebSphere Application Server 提供了称为 FileBasedRegistrySample 的简单用户注册表样本。
    • 联合存储库(这是定制期间对管理安全性选择 WebSphere Application Server 时的缺省值)
如果需要保护资源,那么关键的是标识谁访问那些资源。因此,任何安全性系统需要客户机(用户)标识,就如认证一样。在 WebSphere Application Server for z/OS 所支持的分布式网络中,客户机可以从以下位置访问资源:
  • 在服务器所在的同一系统中
  • 在服务器所在的同一综合系统中
  • 远程 z/OS 系统
  • 不同种类的系统,例如,分布式平台上的 WebSphere Application Server、客户信息控制系统 (CICS®) 或其他符合 Java Platform, Enterprise Edition 的系统。

另外,客户机可以请求要求服务器将请求转发到另一个集群的服务。在这种情况中,系统必须处理委派、中间集群和目标集群使用的客户机标识的可用性。

最后,在分布式网络中,您如何验证传递的消息是机密的且尚未被篡改?您如何验证那些客户机是它们声明的客户机?如何将网络标识映射至 z/OS 标识?这些问题由 WebSphere Application Server for z/OS 中的以下支持进行处理:
  • 使用安全套接字层 (SSL) 和数字证书
  • Kerberos
  • 公共安全互操作性 V2 (CSIv2)
  • 简单且受保护的 GSS-API 协商机制 (SPNEGO)
  • SAF 中的分布式身份映射功能部件

指示主题类型的图标 概念主题



时间戳记图标 最近一次更新时间: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=csec_settingup
文件名:csec_settingup.html