[z/OS]

启用可信应用程序

从 z/OS® 角度来看,可信应用程序暗示将 WebSphere® Application Server 已启动任务控制 (STC) 视为“可信应用程序”,并且允许 WebSphere Application Server STC 在执行线程时更改系统授权工具 (SAF) 标识。信任 z/OS 应用程序(如 WebSphere Application Server)时,安全性基础结构允许创建 MVS™ 凭证,但不需要使用密码、通行票或证书作为鉴别符,同时仍保持 MVS 系统的完整性。

通过使用 FACILITY 类和 BBO.TRUSTEDAPPS 类概要文件,在将 SAF 用作本地操作系统 用户注册表或者计划使用 SAF 授权时,通常需要可信应用程序。配置 WebSphere Application Server 以使用下列各项时,必须启用可信应用程序以保持 MVS 系统的完整性:本地操作系统用户注册表的 SAF 安全性、SAF 授权或“允许与线程同步”。可信应用程序符合 MVS 完整性规则,这样将不允许未经授权的调用者调用敏感的 WebSphere Application Server 代码来执行已授权的功能。使用 SAF 时,必须在资源访问控制设施 (RACF®) 或同等产品中定义可信应用程序。SAF 授权资源规则需要将 WebSphere Application Server 定义为有权在执行线程时更改标识的可信应用程序。通过这种方法,WebSphere Application Server 和 MVS 可以协同工作,而不会损害彼此的完整性。

使用 FACILITY 类概要文件

通过确保 WebSphere Application Server 对 RACF 类 FACILITY 和概要文件 BBO.TRUSTEDAPPS.<cell short name>.<cluster short name> 具有 SAF READ 访问权,可以启用可信应用程序。

定义可信应用程序后,需要启用该应用程序。使用 FACILITY 类概要文件使 RACF 管理员能够控制是否启用可信应用程序。下列示例说明如何使用 FACILITY 类和 BBO.TRUSTEDAPPS 类概要文件来提供此控制。
  • 一般示例:
    RDEF FACILITY BBO.TRUSTEDAPPS.**UACC(NONE)
    PERMIT BBO.TRUSTEDAPPS.** CLASS(FACILITY) ID(MYCBGROUP) ACC(READ)
    SETROPTS RACLIST(FACILITY) REFRESH
  • 由单元短名称 SY1、集群短名称 BBOC001 和控制器区域用户标识 MYSTCCR 标识的特定服务器的特定示例。
    RDEF FACILITY BBO.TRUSTEDAPPS.SY1.BBOC0001 UACC NONE
    PERMIT BBO.TRUSTEDAPPS.SY1.BBOC0001 CLASS(FACILITY) ID(MYSTCCR) ACC(READ)
    SETROPTS RACLIST(FACILITY) REFRESH

指示主题类型的图标 概念主题



时间戳记图标 最近一次更新时间: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rsec_trusted_apps
文件名:rsec_trusted_apps.html