[z/OS]

操作系统级别和应用程序级别的系统授权工具注意事项

在操作系统级别和应用程序级别启用系统授权工具 (SAF) 授权时,需要考虑一些事项。

对于 WebSphere® Application Server for z/OS®,可以在两个不同的级别进行授权:
  • 可以在操作系统级别保护资源。如果程序访问受保护的资源,那么资源管理器将调用 SAF 以便让安全管理器(通常是 RACF®)执行授权检查。
  • 可以在应用程序级别上保护资源。如果 Java™ Platform, Enterprise Edition (Java EE) 应用程序具有安全性约束,那么容器将调用 SAF 以便让安全管理器 (RACF) 执行授权检查。

启用 SAF 授权后,任何级别的授权都始终由操作系统的安全管理器(RACF 或等效产品)执行。因此,用户使用安全管理器 (RACF) 用户标识进行认证至关重要。请参阅控件总结以了解更多信息。

如果在系统定制期间选择了“SAF 授权”,那么所有管理角色的管理 EJBROLE 概要文件都由使用 z/OS Profile Management Tool 或 zpmt 命令所生成的 RACF 作业定义。可以将“SAF 授权”(使用 SAF EJBROLE 概要文件来将 SAF 用户和组指定到角色)用作所有用户注册表的授权机制。如果在管理控制台中选择了 SAF 授权,那么它将覆盖任何其他授权选项(例如 Tivoli® Access Manager 授权)。

如果未选择本地操作系统,那么必须使用两个选项的其中一个将分布式身份映射至 SAF 用户标识。可配置并安装 Java 认证和授权服务 (JAAS) 登录模块以执行映射,或者在 WebSphere Application Server V8.0 中,可使用 SAF 分布式身份映射功能。

注意,非本地操作系统注册表也支持 SAF 授权。如果打开 SAF,那么它将成为缺省提供程序(将处理命名和管理功能)。请启用 SAF,它将成为本机授权提供程序。

有关更多信息,请参阅选择注册表或存储库

启用 SAF 授权后,使用 SAF EJBROLE 概要文件来强制使用 Java EE 角色(概要文件名就是应用程序的角色名)。另外,您还可以定义要在每个 SAF EJBROLE 概要文件名前面附加的 SAF 概要文件前缀(长度不超过 8 个字符的字符串)。有关更多信息,请参阅下列章节:
注意,启用“SAF 授权”后,将忽略“每个人”和“所有已认证”设置。这些属性是在 RACF 中管理的。“每个人”和“所有已认证”在处于启用状态时,他们用于 WebSphere 授权。
每个人
启用 SAF 授权时,SAF 将使用用户认证来实施对 Web 应用程序的访问。如果选择“每个人”设置,那么注册表中定义的任何用户都可以登录到 Web 应用程序,并且主体集或主体将得到认证。

WebSphere Application Server for z/OS 使用缺省(未认证的)用户标识和一个 ACEE,该 ACEE 用于检查使用 RESTRICTED 属性定义的 ACCESS(READ) 访问权。因此,通用访问权限 (UACC) 不适用。当 SAF 不对 ejbrole 实施认证时,如果您希望任何人都能够访问特定角色,那么您必须为缺省(未认证的)用户标识授予 ACCESS(READ) 访问权,以使请求能够在未经认证的情况下运行。如果不为缺省用户标识授予 ACCESS(READ) 访问权,那么 RACF 将对未经认证的请求返回 false。

所有已认证
可以允许用户注册表中的任何名称登录到 Web 应用程序(所有用户名都在登录时接受认证)。必须对所访问的概要文件定义 UACC(READ),并且不要对缺省用户标识发出 RACF PERMIT 命令。
注: 通用访问权限不适用于定义了 RESTRICTED 属性的用户。例如,如果要让未经认证的 WebSphere 身份对 EJBROLE 具有 READ 访问权,那么必须显式地将 READ 许可权授予此标识,而不考虑 UACC 设置。

在使用“本地操作系统注册表”时,可以控制对控制台用户的访问权。

如果您以后决定启用 SAF 授权,那么必须发出这些 RACF 命令以启用正确的 WebSphere Application Server 操作。(如果已选择另一个未经认证的用户标识,请更改已配置的缺省用户标识的值。)


指示主题类型的图标 概念主题



时间戳记图标 最近一次更新时间: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=csec_safauthz
文件名:csec_safauthz.html