![[z/OS]](../images/ngzos.gif)
控件总结
每个控制器、服务方和客户机都必须有它自己的 MVS™ 用户标识。当请求从客户机流动到集群或从集群流动到集群时,WebSphere® Application Server for z/OS® 将用户标识(客户机或集群)与请求一起传递。因此,每个请求是以用户标识的名义执行的,而系统检查用户标识是否有发出此类请求的权限。这些表概述了系统授权工具 (SAF) 和非 SAF 授权。
独立于管理安全设置的 z/OS 安全性控制摘要
- Deployment Manager
- Node Agent
- 位置服务守护程序
- WebSphere Application Server
每个控制器和服务方都必须在有效的 MVS 用户标识下运行,该用户标识被指定为已启动任务的定义的一部分。此 MVS 用户标识必须有有效的 UNIX 系统服务用户标识 (UID),并且连接到 WebSphere 配置组,该组对于带有有效的 MVS 和 UNIX 系统服务组标识 (GID) 标识的单元中的所有服务器是共用的。
控制 | 授权 |
---|---|
DATASET 类 | 对数据集的访问权 |
DSNR 类 | 对 Database 2 (DB2®) 的访问权 |
FACILITY 类 (BPX.WLMSERVER) | 访问 BPX.WLMSERVER 概要文件以在服务方中执行工作负载管理器 (WLM) 相关可调度单元组管理。没有此访问,就不执行分类。 |
FACILITY 类 (IMSXCF.OTMACI) | 对信息管理系统 (IMS™) 的开放式事务管理器访问 (OTMA) 的访问,以及对 BPX.WLMSERVER 概要文件的访问 |
HFS 文件许可权 | 访问分层文件系统(HFS)文件 |
LOGSTRM 类 | 对日志流的访问权 |
OPERCMDS 类 | 对 startServer.sh shell 脚本和 Integral JMSProvider 的访问权 |
SERVER 类 | 服务方对控制器的访问权 |
STARTED 类 | 关联用户标识(和可选的组标识)以启动过程 |
SURROGAT 类 (*.DFHEXCI) | 对客户信息控制系统 (CICS®) 访问的 EXCI 的访问 |
WebSphere z/OS Profile Management Tool 或 zpmt 命令和资源访问控制工具 (RACF®) 定制作业为 *'ed 概要文件的初始服务器设置设定这些权限。
- 连接器的类型
- 部署的应用程序的资源认证(resAuth)设置
- 别名的可用性
- 安全设置
- 通过 FACILITY 类 (IMSXCF.OTMACI) 访问 OTMA for IMS
- 通过 SURROGAT 类 (*.DFHEXCI) 访问 EXCI for CICS
- 您可以通过 DATASET 类控制对数据集的访问和通过文件许可权控制对 HFS 文件的访问
请注意,对 J2EE 应用程序访问的所有其他 MVS 子系统资源的 MVS SAF 授权通常是使用服务方 MVS 用户标识的身份执行的。请参阅Java Platform, Enterprise Edition 身份和操作系统线程身份,以了解更多信息。
FACILITY 类中的 BPX.WLMSERVER 概要文件用来对地址空间授权,以使用与工作负载管理 (WLM) 交互的 Language Environment® (LE) 运行时服务来在服务器区域中执行工作负载管理。WebSphere Application Server 使用这些 LE 运行时服务来从相关可调度单元组中截取分类信息,并管理工作与相关可调度单元组的关联。由于使用了未经授权的接口来处理尚未从控制器传递到服务方的服务器区域工作的 WLM 相关可调度单元组,所以应该允许 WebSphere Application Server 服务方对该概要文件进行读访问。没有该许可权,尝试创建、删除、连接或保留 WLM 相关可调度单元组都会由于发生 java.lang.SecurityException 而失败。
启用管理安全性和应用程序安全性时生效的 z/OS 安全性控制摘要
启用管理安全性和应用程序安全性后,SSL 必须可用于加密和保护消息。此外,还启用 J2EE 的认证和授权与管理客户机。
启用管理安全性后,需要 SSL 服务所需的 FACILITY 类授权以及 SAF 密钥环定义。
当请求从客户机流动到 WebSphere Application Server 或从集群流动到集群时,WebSphere Application Server for z/OS 将用户标识(客户机或集群)与请求一起传递。因此,每个请求是以用户标识的名义执行的,而系统检查用户标识是否有作出这样请求的权限。 这些表概述了使用 SAF 的特定于 z/OS 的授权。
控制 | 授权 |
---|---|
CBIND 类 | 对集群的访问权 |
EJBROLE 或 GEJBROLE 类 | 对企业 Bean 中方法的访问权 |
FACILITY 类(IRR.DIGTCERT.LIST 和 IRR.DIGTCERT.LISTRING) | SSL 密钥环、证书和映射 |
FACILITY 类(IRR.RUSERMAP) | Kerberos 凭证 |
FACILITY 类 (BBO.SYNC) | 启用“允许与操作系统线程同步” |
FACILITY 类 (BBO.TRUSTEDAPPS) | 启用可信应用程序 |
SURROGAT 类 (BBO.SYNC) | 启用“允许与操作系统线程同步” |
PTKTDATA 类 | 在综合系统 (sysplex) 中的通行票启用 |
将 OS 线程标识设置为 RunAs 标识 | 用于启用非 J2EE 资源的启动标识的 J2EE 集群属性 |