[z/OS]

对 IMS 使用优化本地适配器时的安全性注意事项

本主题回顾了对 IMS™ 使用优化本地适配器时的安全性注意事项。

可以在下列与 IMS 有关的区域环境中使用优化本地适配器 API:
  • MPR (MPP)
  • 快速路径 (IFP)
  • 成批消息处理 (BMP)
  • 批处理 DL/I
在注册过程中,要求当前线程或从属区域中 TCB 上的用户标识获取目标 WebSphere® Application Server 服务器的系统授权工具 (SAF) CBIND 类的授权,或至少对该类具有读访问权。您需要在注册之后才能向 WebSphere Application Server 发送任何其他请求。

可以采用多种方式使用户身份与当前 IMS 任务及其 TCB 相关联。对于 BMP,作业用户标识就是需要访问 CBIND 类的身份。对于 IFP 和 MPP,可以采用另一种方式设置 TCB 上的用户身份。如果 IMS 环境的 SECURITY 宏指定 SECLVL=(TRANAUTH,SIGNON),那么在进行本地 SAF 数据库和 SAF 认证时,需要登录时所提供的用户标识。此外,将使用 SAF 来检查事务访问权。

使用这些选项运行并且使用“构建安全性环境”时,出口 DFSBSEX0 会将返回码 4 传递回 IMS。然后,IMS 将确保分派事务的 TCB 与已认证的 SAF 标识同步。

应用程序用户的用户标识需要对成功的优化本地适配器注册 API 调用的 WebSphere Application Server CBIND SAF 类具有读访问权。调用者使用开放式事务管理器访问 (OTMA) 协议发起的 IMS 事务使用 OTMASE 参数来确定是否已更新当前线程/TCB 安全上下文。将 OTMASE 参数设置为 OTMASE=FULL 表明 OTMA 客户机调用所传入的标识是 MPP 或 IFP 的线程上的标识。在此方案中,客户机标识需要对 CBIND 类具有读访问权。

当事务工作从 IMS 传递到 WebSphere Application Server for z/OS® 时,会将用户标识传播到 WebSphere Application Server EJB 容器中并进行声明。

当使用优化本地适配器并通过 OTMA 来调用现有未更改的 IMS 事务时,可以将当前 WebSphere Application Server 客户机的标识传播到在消息处理 (MPR) 和快速路径 (IFP) 从属区域中已实现和已声明的 IMS 事务。为此,请确保将 WebSphere 服务器配置为在启用了“SyncToOS 线程”选项的情况下运行。要了解有关激活“SyncToOS 线程”选项的更多信息,请参阅“z/OS 安全性选项”主题。一旦启用了“SyncToOS 线程”,请确保目标 IMS 环境的 OTMASE 参数设置为 F, FULL。按此方式配置这些选项之后,该用户在 WebSphere Application Server 环境中的标识将传播到 IMS MPP 或 IFP 并进行声明。这不适用于“成批消息处理”(BMP) 从属区域。

避免故障 避免故障: 如果您正在使用 SAF,那么必须配置 BBO.SYNC 概要文件。有关如何配置 BBO.SYNC 概要文件的描述,请参阅“系统授权工具类和概要文件”主题。gotcha

指示主题类型的图标 参考主题



时间戳记图标 最近一次更新时间: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=cdat_olasecurityimsconsid
文件名:cdat_olasecurityimsconsid.html