[z/OS]

保护用于出站支持的优化本地适配器

当您想要为用于执行出站调用的优化本地适配器设置安全性时,请执行本任务。

开始之前

如果要将优化本地适配器 API 与 WebSphere® Application Server for z/OS® 服务器配合使用,请在运行这些服务器时启用全局安全性并激活“与操作系统线程同步”选项。要阅读关于全局安全性的内容,请参阅“启用安全性”主题。要了解有关激活“与操作系统线程同步”选项的更多信息,请参阅“z/OS 安全性选项”主题。

或者,系统管理员可在优化本地适配器连接工厂上提供用户名和密码,应用程序开发者也可在 ConnectionSpec 对象上提供用户名和密码(用于从优化本地适配器连接工厂获取连接)。登录是使用此用户名和密码组合执行的,并且会在通过此连接发出优化本地适配器请求时使用与此用户名相关联的 MVS™ 用户标识。如果没有与此用户名相关联的 MVS 用户标识,那么通过此连接发出优化本地适配器请求时不会使用 MVS 用户标识。

WebSphere Application Server for z/OS 服务器的本地访问受系统授权工具 (SAF) 的 CBIND 类保护。这个类是在概要文件创建期间定义的,并用于在发出因特网 ORB 间协议 (IIOP) 本地客户机连接请求以及优化本地适配器请求时保护 WebSphere Application Server for z/OS 服务器。在运行任何使用了注册 API 的应用程序之前,务必将作业、UNIX 系统服务 (USS) 进程或目标服务器的 CBIND 类的客户信息控制系统 (CICS®) 区域的 READ 访问权授予用户标识。这是使用 BBOCBRAK 作业设置的。有关 CBIND 类的更多信息,请阅读“使用 CBIND 来控制对集群的访问”主题。

使用优化本地适配器主机服务 API 和接收请求 API 从 WebSphere Application Server 中调用应用程序时,将使用用于调用 API 的线程的身份。对于 CICS 以外的环境,优化本地适配器不会尝试声明 WebSphere Application Server 应用程序身份。 这包括信息管理系统 (IMS™) 从属区域。对于这些区域,事务使用启动该事务的用户标识启动。这包括 IMS 从属区域。对于这些区域,事务使用启动该事务的用户标识启动。

在 CICS 与 WebSphere Application Server for z/OS 之间传递入站或出站事务工作时,您必须考虑一些特殊的安全性注意事项。例如,您需要确定 WebSphere Application Server 的入站工作的认证是应该使用特定 CICS 应用程序的权限还是整体 CICS 区域权限运行。WebSphere Application Server 将出站工作发送到 CICS 应用程序时,存在类似的问题;您需要确定 CICS 是应采用初始应用程序的权限还是它自己的 CICS 当前安全概要文件。
注意: 您需要确保对客户机应用程序进行验证,以便 CICS 处理请求。

要在 CICS 中接收请求并通过优化本地适配器 CICS 链路服务器(BBO$ 任务)对其进行处理,在启动该链接服务器时,您可以指示要让该链接服务器将所传播的 WebSphere Application Server 线程级别身份断言为用于启动目标程序的 CICS 线程。此任务是通过优化本地适配器 BBOC CICS 事务的一个参数完成的。

关于此任务

下列步骤包括为了保护用于出站调用的优化本地适配器而需完成的任务:

过程

配置安全性设置。 对于在 CICS 下运行的应用程序而言,在此应用程序中使用优化本地适配器主机服务 API 或接收请求 API 时,将使用调用这些 API 的 CICS 应用程序的权限。使用优化本地适配器 CICS 链接服务器时,您可以指示要让链接服务器任务 BBO$ 在调用目标程序之前声明 WebSphere Application Server 身份,如下所示:
  1. 对正在用于启动链接服务器的优化本地适配器 BBOC CICS 事务(使用 BBOC START_SRVR),请传递 SEC=Y 参数。 如果指定了此参数,那么优化本地适配器链接服务器任务 BBO$ 将使用通过调用 WebSphere Application Server 线程传播的身份来启动链接任务 BBO#。
  2. 确保 CICS 区域在启用了安全性并启用了 EXEC CICS START 检查功能的情况下运行。 要启用安全性,请在启动时指定参数 SEC=YES。要启用 EXEC CICS START 检查功能,请在启动时指定参数 XUSER=YES。
  3. 创建一个 SAF 代理类,这个类将发出 EXEC CICS START TRANSACTION API 以及 传递从 WebSphere Application Server 传播到 CICS 的 USERID 所需的权限授予用于运行优化本地适配器链接服务器的身份。 以下样本显示了为用户标识 USER1 定义的代理类,这个类允许用户标识 OLASERVE 发出 EXEC CICS START TRANS(BBO#) USERID(USER1) 并处理使用身份 USER1 来运行的优化本地适配器 CICS 链路事务。
    RDEFINE SURROGAT USER1.DFHSTART UACC(NONE) OWNER(USER1)  
    PERMIT USER1.DFHSTART CLASS(SURROGAT) ID(USER1)          
    PERMIT USER1.DFHSTART CLASS(SURROGAT) ID(OLASERVE)       
    SETROPTS RACLIST(SURROGAT) REFRESH 

结果

您已经为优化本地适配器连接设置了安全性。

下一步做什么

有关将安全性与 IMS 配合使用的更多信息,请参阅“将优化本地适配器与 IMS 配合使用时的安全性注意事项”主题。

指示主题类型的图标 任务主题



时间戳记图标 最近一次更新时间: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tdat_security_out
文件名:tdat_security_out.html