[z/OS]

保护用于入站支持的优化本地适配器

使用此任务为执行入站调用的优化本地适配器连接设置安全性。

开始之前

如果要将优化本地适配器 API 与 WebSphere® Application Server for z/OS® 服务器配合使用,请在运行这些服务器时启用全局安全性并激活“与操作系统线程同步”选项。要阅读关于全局安全性的内容,请参阅“启用安全性”主题。要了解有关激活“与操作系统线程同步”选项的更多信息,请参阅“z/OS 安全性选项”主题。

WebSphere Application Server for z/OS 服务器的本地访问受系统授权工具 (SAF) 的 CBIND 类保护。这个类是在概要文件创建期间定义的,并用于在发出因特网 ORB 间协议 (IIOP) 本地客户机连接请求以及优化本地适配器请求时保护 WebSphere Application Server for z/OS 服务器。在运行任何使用了注册 API 的应用程序之前,务必将作业、UNIX 系统服务 (USS) 进程或目标服务器的 CBIND 类的客户信息控制系统 (CICS®) 区域的 READ 访问权授予用户标识。它是使用 BBOCBRAK 作业设置的。有关 CBIND 类的更多信息,请阅读“使用 CBIND 来控制对集群的访问”主题。

所有对 WebSphere Application Server 的入站请求都在线程上的当前用户权限下运行。此身份将自动传播,并且在 Enterprise JavaBeans (EJB) 容器中断言;应用程序将以此身份启动。进入目标企业 Bean 的入站请求将以本地 IIOP 请求的方法调用的方式到达,并且,RunAs 的安全性选项以本地 IIOP 请求的方式工作

在 CICS 与 WebSphere Application Server for z/OS 之间传递入站或出站事务工作时,您必须考虑一些特殊的安全性注意事项。例如,必须确定 WebSphere Application Server 的入站工作的认证是应该使用特定 CICS 应用程序的权限还是整体 CICS 区域权限运行。WebSphere Application Server 将出站工作发送到 CICS 应用程序时,存在类似的问题;必须确定 CICS 是应采用初始应用程序的权限还是它自己的 CICS 当前安全概要文件。
注意: 必须确保对客户机应用程序进行验证,以便 CICS 处理请求。

要将请求从 CICS 传递到 WebSphere Application Server,可通过使用注册 API 调用来设置一个标志,从而指示要使用当前 CICS 应用程序的身份。

关于此任务

下列步骤包括为了保护用于入站调用的优化本地适配器而需完成的任务:

过程

配置安全性设置。 安全性身份传播类型是在 BBOA1REG 调用中进行优化本地适配器连接请求时在注册标志中指定的。您可以选择 CICS 区域或应用程序安全概要文件。
注意: 为使此功能正常发挥作用,需要使用 SEC=YES CICS 启动选项来启用 CICS 应用程序级安全性。
并且,仅当 ola_cicsuser_identity_propagate 环境变量设置为 1 时,才能在 WebSphere Application Server 线程上传播和断言 CICS 应用程序用户。这允许 WebSphere Application Server 系统程序员管理对此行为的控制权。如果此选项设置为 0(缺省值),那么注册 API 调用选择了应用程序级传播的 CICS 应用程序时,将发生错误。有关此环境变量的更多信息,请参阅“优化本地适配器环境变量”主题。

设置环境变量,以便允许在进行注册请求时,使用 CICS 应用程序级身份进行认证。您可以在管理控制台中设置此变量,如下所示:

  1. 单击环境 > WebSphere 变量
  2. 范围下,从“显示范围选项”下拉列表中选择“单元”。 如果 ola_cicsuser_identity_propagate 环境变量已显示在资源列表中,那么不必再次添加此变量。您可以继续完成步骤 c。如果尚未将此变量添加到资源列表,那么必须单击添加。第一次执行本任务时,必须将 ola_cicsuser_identity_propagate 环境变量添加到显示列表。在初始添加之后每次执行本任务时,都可以在设置范围之后从显示列表中选择 ola_cicsuser_identity_propagate。
  3. 单击 ola_cicsuser_identity_propagate 将出现一个窗口,以显示“常规属性”,您可以在该窗口中配置变量。
  4. WebSphere Application Server 环境变量设置为 1 如果将此环境变量设置为 0(零)或者保持其处于未定义状态,那么对 WebSphere Application Server 进行的入站调用将不采用 CICS 应用程序级安全性。
  5. 单击应用,然后单击确定

结果

您已经为优化本地适配器入站连接设置了安全性。

下一步做什么

有关将安全性与 IMS™ 配合使用的更多信息,请参阅“将优化本地适配器与 IMS 配合使用时的安全性注意事项”主题。

指示主题类型的图标 任务主题



时间戳记图标 最近一次更新时间: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tdat_security_in
文件名:tdat_security_in.html