[z/OS]

系统授权工具用户注册表

WebSphere® Application Server for z/OS® 中,系统授权工具 (SAF) 用户注册表有多个用途。

基于 SAF 的用户注册表用来:
  • 使用基本认证、身份断言或客户机证书来进行认证
  • 存储关于用户和组的信息
  • 检索关于用户和组的信息,以执行与安全性相关的管理功能(包括将用户和组映射至安全角色)。
  • 控制对资源(例如数据集、命令和端口)的访问
有关更多信息,请参阅选择注册表或存储库

通过使用本地操作系统或非本地操作系统注册表实现,WebSphere Application Server for z/OS 认证机制可以使用 SAF 接口。SAF 接口由 MVS™ 定义,这些接口使应用程序能够使用系统授权服务或用户注册表来控制对资源(例如数据集和 MVS 命令)的访问。SAF 直接处理安全性授权请求,或者与 RACF® 或其他安全性产品一起处理那些请求。注意,本地操作系统 SAF 用户注册表不是像轻量级目录访问协议 (LDAP) 那样的集中式注册表,但它在综合系统内是集中式注册表。

注: 使用非本地操作系统注册表时,WebSphere Application Server for z/OS 使用非本地操作系统注册表来进行认证,但仍使用 SAF 接口来控制对系统资源的访问。

借助 WebSphere Application Server for z/OS,SAF 用户注册表使用资源访问控制设施 (RACF) RACDCERT 命令来提供数字证书到用户标识的映射。有关 RACDCERT 命令的更多信息,请参阅 z/OS 因特网库中适用于您的 z/OS 版本的 z/OS Security Server RACF Command Language Reference。

定义了 SAFDFLT 概要文件时,无论 REALM 类处于活动状态还是不活动状态,WebSphere Application Server for z/OS 本地操作系统用户注册表(SAF 用户注册表)实现都将在 REALM 类中根据 SAFDFLT 概要文件来设置注册表领域名。此领域名是作为 SAFDFLT 概要文件的 APPLDATA 属性指定的。如果无法从操作系统安全性产品(例如,RACF)中获取此领域名,那么会将为 protocol_iiop_daemon_listenIPAddress 属性所指定的值用作领域名。例如,如果未定义 SAFDFLT 概要文件或 APPLDATA 属性,那么将使用 protocol_iiop_daemon_listenIPAddress 的值。

避免故障 避免故障: 由于 V8.5.5.1 中的 PE APAR PM76462,因此,仅当 REALM 类处于活动状态时,才存在前一段中所描述的 WebSphere for z/OS 本地操作系统用户注册表(SAF 用户注册表)实现。在 V8.5.5.2 中更正了此实现错误。gotcha
在任何域名更改生效之前,必须重新启动整个单元,包括守护程序地址空间。但是,存在一项 UNIX 系统服务限制。如果列示用户和组信息,那么将只显示那些具有 OMVS 段(用户和组信息的存储位置)的用户。请参阅控件总结以了解更多信息。
避免故障 避免故障: 如果您列示用户注册表中的组或用户以获取特定安全域、资源名称或域名,那么必须确保将 OMVS 段(用户和组信息的存储位置)添加到要与 WebSphere Application Server 配合使用的任何组或用户。此外,该用户的缺省组必须具有 OMVS 段,才能在管理控制台中列示该用户。请参阅gotcha
注: 本地操作系统注册表的缺省实现(也是唯一的实现)是 SAF。

请参阅选择注册表或存储库,以了解有关选择用户注册表的一般信息。


指示主题类型的图标 概念主题



时间戳记图标 最近一次更新时间: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=csec_safuserreg
文件名:csec_safuserreg.html