![[z/OS]](../images/ngzos.gif)
服务器进程授权检查
可以指定对 z/OS® 资源的特定访问限制。
要控制对 WebSphere® Application Server for z/OS 资源的访问:
- 作为一般的规则,授予控制器以较大的权限而授予服务方以较小的权限。
表 1. 区域的信任和权限级别. 下表指示区域的信任和权限级别。
区域 信任和访问权限级别 控制器 注:- 包含 WebSphere Application Server for z/OS 系统代码。
- 可信的,运行 APF 授权的
- 包含通信端口和系统授权工具 (SAF) 客户机标识的操作
服务方 注:- 包含 WebSphere Application Server for z/OS 系统代码、应用程序代码和可插入服务提供程序(如 JDBC 驱动程序)
- 支持 Java™ 2 安全性来保护敏感数据和系统服务
- 不可信的
- 关于 WebSphere Application Server for z/OS 运行时集群,一般规则是授予位置服务守护程序较小的权限,而授予节点较大权限,如下表中的说明:
表 2. 为 WebSphere Application Server for z/OS 运行时集群控制和服务方指定权限. 下表列出了 z/OS 运行时集群控制和服务方所需的权限。
运行时集群 区域 必需的权限 位置服务守护程序 控制 - STARTED 类
- 对工作负载管理器 (WLM) 服务的访问
- 对 DNS 的访问
- 对 START、STOP、CANCEL、FORCE 和 MODIFY 其他集群的 OPERCMDS 访问
- FACILITY (SSL) 中的 IRR.DIGTCERT.LIST 和 IRR.DIGCERT.LISTRING
节点 控制 STARTED 类 控制器 控制 - SSL
- Kerberos
- 对 SERVER 类的 READ 权限,
- 对 START、STOP、CANCEL、FORCE 和 MODIFY 其他服务器的 OPERCMDS 访问
服务方 控制 以下各类: - OTMA
- SERVER
- DSNR,
- DATASET
- SURROGATE
- STARTED
- LOGSTREEAM
- 切记要保护资源恢复服务 (RRS) 日志流。缺省情况下,UACC 为 READ。
- 保护 WebSphere Application Server for z/OS 属性 XML 文件,尤其是当这些文件包含密码时。有关更多信息,请参阅管理控制台或文档中的 WebSphere Application Server 变量。
- Deployment Manager 也需要许可权才能启动和停止服务器。