[z/OS]

使用 Java 认证和授权服务登录模块将注册表主体映射到系统授权工具用户标识

可以使用 Java™ 认证和授权服务 (JAAS) 登录模块将注册表主体映射至系统授权工具 (SAF) 用户标识。

注: 如果要使用 SAF 分布式身份映射功能,那么不需要配置映射模块。

在 WebSphere Application Server 映射中使用的以下明确定义的属性集,是在 sas.jar 文件中提供的 com.ibm.wsspi.security.token.AttributeNameConstants 类中定义的:

com.ibm.wsspi.security.token.AttributeNameConstants.ZOS_USERID

执行需要 z/OS SAF 用户标识的操作时,使用此属性设置 MVS™ 用户标识的值。如果未指定值,那么 WebSphere Application Server 将使用未经认证的用户来建立 SAF 用户标识。此 SAF 用户标识必须是有效的 MVS 用户标识。

com.ibm.wsspi.security.token.AttributeNameConstants.ZOS_AUDIT_STRING

在创建资源访问控制设施 (RACF®) 访问控制环境元素 (ACEE) 时,使用此属性来指示将指定的字符串放在 X500Name 属性中。

此属性将审计字符串与 SAF 用户关联,当执行以下任一操作时它会显示在系统管理设施 (SMF) 记录中:
  • EJBROLE 授权检查
  • 对应用程序的任何访问检查,该应用程序以操作系统标识运行并与 Java 2, Enterprise Edition (J2EE) 标识同步。有关更多信息,请参阅Java 线程标识和操作系统线程标识
最多可以在此字段中放置 223 个字符。如果指定的值大于 223 个字符,那么仅使用开始的 223 个字符。如果此值被省略,那么构建主体时不会添加审计数据。此字段中记录的所有审计数据都以 SMF 审计记录字符串“WebSphere 映射的用户标识”作为前缀。

com.ibm.wsspi.security.token.AttributeName.Constants.CALLER_PRINCIPAL_CLASS

使用此可选字段来指示在使用 getCallerPrincipal 和 getUserPrincipal 应用程序编程接口 (API) 时,返回 JAAS 主体集中的哪个主体类。

可以通过以下任一机制来创建此主体:
  • WebSphere Application Server 运行时
  • JAAS 登录模块

此字段的缺省值为 com.ibm.websphere.security.auth.WSPrincipal。使用此缺省值会返回已配置的 WebSphere Application Server 注册表中的 WebSphere Application Server 主体名称。

要返回所映射的 SAF 主体,请指定 com.ibm.ws.security.zos.Principal。如果指定了值,但主体与指定的 CALLER_PRINCIPAL_CLASS 值不匹配,那么返回值表明未经认证的用户。指定 getUserInRole 将返回 Null 值,而指定 getCallerPrincipal() 将返回一个字符串以指示用户未经认证。

注: 没有使用提供的映射模块来处理某些网络标识:
服务器标识
此标识始终映射至进程的用户标识,并由 STARTED 概要文件来指定。
对应于 UNAUTHENTICATED 用户的 SAF 标识
对应于 UNAUTHENTICATED 用户的 SAF 标识意思是没有网络标识。此值使用 WebSphere z/OS Profile Management Tool 或 zpmt 命令进行配置,并可使用管理控制台进行修改。建议您使用 RESTRICTED 属性为未经认证的用户创建 SAF 标识。

指示主题类型的图标 参考主题



时间戳记图标 最近一次更新时间: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rsec_jaaslogmod
文件名:rsec_jaaslogmod.html