[z/OS]

控件总结

每个控制器、服务方和客户机都必须有它自己的 MVS™ 用户标识。当请求从客户机流动到集群或从集群流动到集群时,WebSphere® Application Server for z/OS® 将用户标识(客户机或集群)与请求一起传递。因此,每个请求是以用户标识的名义执行的,而系统检查用户标识是否有发出此类请求的权限。这些表概述了系统授权工具 (SAF) 和非 SAF 授权。

独立于管理安全设置的 z/OS 安全性控制摘要

在 WebSphere Application Server for z/OS 配置中,有许多不同类型的进程:
  • Deployment Manager
  • Node Agent
  • 位置服务守护程序
  • WebSphere Application Server
它们每个都可被视作 WebSphere Application Server for z/OS 控制器进程或进程对(控制器与服务方)。

每个控制器和服务方都必须在有效的 MVS 用户标识下运行,该用户标识被指定为已启动任务的定义的一部分。此 MVS 用户标识必须有有效的 UNIX 系统服务用户标识 (UID),并且连接到 WebSphere 配置组,该组对于带有有效的 MVS 和 UNIX 系统服务组标识 (GID) 标识的单元中的所有服务器是共用的。

下表概述了用于授予这些控制器和服务方访问操作系统资源时所需权限的控件。通过了解和使用这些控件,您可以控制 WebSphere Application Server for z/OS 中的所有资源访问。
表 1. 控件和 SAF 权限总结.

此表包含控件及其 SAF 权限的总结。

控制 授权
DATASET 类 对数据集的访问权
DSNR 类 对 Database 2 (DB2®) 的访问权
FACILITY 类 (BPX.WLMSERVER) 访问 BPX.WLMSERVER 概要文件以在服务方中执行工作负载管理器 (WLM) 相关可调度单元组管理。没有此访问,就不执行分类。
FACILITY 类 (IMSXCF.OTMACI) 对信息管理系统 (IMS™) 的开放式事务管理器访问 (OTMA) 的访问,以及对 BPX.WLMSERVER 概要文件的访问
HFS 文件许可权 访问分层文件系统(HFS)文件
LOGSTRM 类 对日志流的访问权
OPERCMDS 类 startServer.sh shell 脚本和 Integral JMSProvider 的访问权
SERVER 类 服务方对控制器的访问权
STARTED 类 关联用户标识(和可选的组标识)以启动过程
SURROGAT 类 (*.DFHEXCI) 对客户信息控制系统 (CICS®) 访问的 EXCI 的访问

WebSphere z/OS Profile Management Tool 或 zpmt 命令和资源访问控制工具 (RACF®) 定制作业为 *'ed 概要文件的初始服务器设置设定这些权限。

注: 其他概要文件的权限示例可在 HLQ.DATA(BBOWBRAC) 中生成的 exec 文件中找到。对用于本机连接器资源(CICS、DB2 和 IMS)授权的标识的选择取决于:
  • 连接器的类型
  • 部署的应用程序的资源认证(resAuth)设置
  • 别名的可用性
  • 安全设置
资源管理器(如 DB2、IMS 和 CICS)实现了它们自己的资源控件,这些控件控制客户机访问资源的能力。当 DB2 使用资源控件时,可使用 DSNR RACF 类(如果具有 RACF 支持)或发出相关的 DB2 GRANT 语句。您可以:
  • 通过 FACILITY 类 (IMSXCF.OTMACI) 访问 OTMA for IMS
  • 通过 SURROGAT 类 (*.DFHEXCI) 访问 EXCI for CICS
  • 您可以通过 DATASET 类控制对数据集的访问和通过文件许可权控制对 HFS 文件的访问

请注意,对 J2EE 应用程序访问的所有其他 MVS 子系统资源的 MVS SAF 授权通常是使用服务方 MVS 用户标识的身份执行的。请参阅Java Platform, Enterprise Edition 身份和操作系统线程身份,以了解更多信息。

FACILITY 类中的 BPX.WLMSERVER 概要文件用来对地址空间授权,以使用与工作负载管理 (WLM) 交互的 Language Environment® (LE) 运行时服务来在服务器区域中执行工作负载管理。WebSphere Application Server 使用这些 LE 运行时服务来从相关可调度单元组中截取分类信息,并管理工作与相关可调度单元组的关联。由于使用了未经授权的接口来处理尚未从控制器传递到服务方的服务器区域工作的 WLM 相关可调度单元组,所以应该允许 WebSphere Application Server 服务方对该概要文件进行读访问。没有该许可权,尝试创建、删除、连接或保留 WLM 相关可调度单元组都会由于发生 java.lang.SecurityException 而失败。

启用管理安全性和应用程序安全性时生效的 z/OS 安全性控制摘要

启用管理安全性和应用程序安全性后,SSL 必须可用于加密和保护消息。此外,还启用 J2EE 的认证和授权与管理客户机。

启用管理安全性后,需要 SSL 服务所需的 FACILITY 类授权以及 SAF 密钥环定义。

当请求从客户机流动到 WebSphere Application Server 或从集群流动到集群时,WebSphere Application Server for z/OS 将用户标识(客户机或集群)与请求一起传递。因此,每个请求是以用户标识的名义执行的,而系统检查用户标识是否有作出这样请求的权限。 这些表概述了使用 SAF 的特定于 z/OS 的授权。

下表概述用于授予对资源的权限的控件。通过了解和使用这些控件,您可以控制 WebSphere Application Server for z/OS 中的所有资源访问。
表 2. 控件和 SAF 权限总结.

此表包含控件及其 SAF 权限的总结。

控制 授权
CBIND 类 对集群的访问权
EJBROLE 或 GEJBROLE 类 对企业 Bean 中方法的访问权
FACILITY 类(IRR.DIGTCERT.LIST 和 IRR.DIGTCERT.LISTRING) SSL 密钥环、证书和映射
FACILITY 类(IRR.RUSERMAP) Kerberos 凭证
FACILITY 类 (BBO.SYNC) 启用“允许与操作系统线程同步”
FACILITY 类 (BBO.TRUSTEDAPPS) 启用可信应用程序
SURROGAT 类 (BBO.SYNC) 启用“允许与操作系统线程同步”
PTKTDATA 类 在综合系统 (sysplex) 中的通行票启用
将 OS 线程标识设置为 RunAs 标识 用于启用非 J2EE 资源的启动标识的 J2EE 集群属性

指示主题类型的图标 参考主题



时间戳记图标 最近一次更新时间: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rsec_sumofcontrol
文件名:rsec_sumofcontrol.html