![[z/OS]](../images/ngzos.gif)
启用可信应用程序
从 z/OS® 角度来看,可信应用程序暗示将 WebSphere® Application Server 已启动任务控制 (STC) 视为“可信应用程序”,并且允许 WebSphere Application Server STC 在执行线程时更改系统授权工具 (SAF) 标识。信任 z/OS 应用程序(如 WebSphere Application Server)时,安全性基础结构允许创建 MVS™ 凭证,但不需要使用密码、通行票或证书作为鉴别符,同时仍保持 MVS 系统的完整性。
通过使用 FACILITY 类和 BBO.TRUSTEDAPPS 类概要文件,在将 SAF 用作本地操作系统 用户注册表或者计划使用 SAF 授权时,通常需要可信应用程序。配置 WebSphere Application Server 以使用下列各项时,必须启用可信应用程序以保持 MVS 系统的完整性:本地操作系统用户注册表的 SAF 安全性、SAF 授权或“允许与线程同步”。可信应用程序符合 MVS 完整性规则,这样将不允许未经授权的调用者调用敏感的 WebSphere Application Server 代码来执行已授权的功能。使用 SAF 时,必须在资源访问控制设施 (RACF®) 或同等产品中定义可信应用程序。SAF 授权资源规则需要将 WebSphere Application Server 定义为有权在执行线程时更改标识的可信应用程序。通过这种方法,WebSphere Application Server 和 MVS 可以协同工作,而不会损害彼此的完整性。
使用 FACILITY 类概要文件
通过确保 WebSphere Application Server 对 RACF 类 FACILITY 和概要文件 BBO.TRUSTEDAPPS.<cell short name>.<cluster short name> 具有 SAF READ 访问权,可以启用可信应用程序。
- 一般示例:
RDEF FACILITY BBO.TRUSTEDAPPS.**UACC(NONE) PERMIT BBO.TRUSTEDAPPS.** CLASS(FACILITY) ID(MYCBGROUP) ACC(READ) SETROPTS RACLIST(FACILITY) REFRESH
- 由单元短名称 SY1、集群短名称 BBOC001 和控制器区域用户标识 MYSTCCR 标识的特定服务器的特定示例。
RDEF FACILITY BBO.TRUSTEDAPPS.SY1.BBOC0001 UACC NONE PERMIT BBO.TRUSTEDAPPS.SY1.BBOC0001 CLASS(FACILITY) ID(MYSTCCR) ACC(READ) SETROPTS RACLIST(FACILITY) REFRESH