Habilitar seguridad para la interfaz de usuario 3270 mejorada de OMEGAMON

Habilite la seguridad para la interfaz de usuario 3270 mejorada de OMEGAMON especificando el nombre de la clase (o clases) de recurso general SAF que se utilizará para el entorno de ejecución.

Antes de empezar

La autenticación y autorización para los usuarios de la interfaz de usuario 3270 mejorada se proporciona utilizando la interfaz SAF (System Authorization Facility). La seguridad se habilita especificando el nombre de una clase de recurso general SAF para el entorno en tiempo de ejecución (RTE) en el que está configurada la interfaz de usuario 3270 mejorada. Un administrador de seguridad debe definir la clase de recurso general si aún no existe, y definir perfiles para controlar el acceso a la interfaz, las consultas de datos emitidas por la interfaz, y las acciones que lleva a cabo la interfaz. Se debe otorgar acceso a los perfiles a los usuarios o los grupos de usuarios.

Acerca de esta tarea

La seguridad para la interfaz de usuario 3270 mejorada se configura especificando el nombre de una clase de recurso general SAF para el parámetro RTE_SECURITY_CLASS en la configuración del RTE.
Atención: Como mínimo, para utilizar la 3270UI mejorada, el usuario debe tener autoridad de lectura SAF para todos los conjuntos de datos que se especifican en el procedimiento de tarea iniciado de la 3270UI mejorada (excepto para STEPLIB). Para un uso más avanzado, el usuario debe tener autorización de escritura SAF para determinados conjuntos de datos de usuario. Por ejemplo, guardar la configuración del usuario en un perfil requiere acceso de escritura al conjunto de datos del perfil de tiempo de ejecución (RKOBPFSV DD), y modificar los espacios de trabajo requiere acceso de escritura al conjunto de datos del espacio de trabajo del usuario (UKANWENU DD). Para obtener más información, consulte Definir perfiles para actividades de interfaz adicionales.

Si el nombre de la clase de seguridad global se ha especificado durante la configuración del entorno de ejecución, no es necesario realizar ninguna configuración adicional del entorno. Si no se especificó ninguna clase de seguridad en el momento en que se configuró el RTE, modifique el RTE siguiendo los pasos indicados en el procedimiento de esta sección.

Si necesita más las definiciones de seguridad granular, puede alterar temporalmente la clase SAF global para el inicio de sesión, las consultas, o los mandatos de actuación. No se puede anular el valor RTE_SECURITY_CLASS para otras actividades de la interfaz de usuario mejorada: por ejemplo, controlar la actualización automática y el acceso a determinados concentradores. No puede anular el prefijo del nombre del recurso SAF utilizado para otras actividades de interfaz de usuario mejorada; el prefijo es siempre KOBUI.

Para alterar temporalmente el valor de RTE_SECURITY_CLASS , añada los parámetros siguientes a rte_plib_hilev.nombre_rt.Miembro WCONFIG (KOB$PENV) (para PARMGEN) o a rte_plib_hilev.rte_name.Miembro EMBEDS (KOB$PENV) (para Configuration Manager).
KOB_SAF_LOGON_CLASS_NAME
Especifica un nombre de clase de seguridad específico que se utilizará para la autenticación de inicio de sesión de la interfaz. Este parámetro toma como valor predeterminado el valor del parámetro RTE_SECURITY_CLASS. Este parámetro sólo debe especificarse si no se especificado RTE_SECURITY_CLASS o se necesita un nombre de clase de seguridad exclusivo para la autorización de inicio de sesión.
KOB_SAF_QUERY_CLASS_NAME
Especifica un nombre de clase de seguridad específico que debe utilizarse para la autorización de una consulta de interfaz (recuperación de datos). Este parámetro toma como valor predeterminado el valor del parámetro RTE_SECURITY_CLASS. Este parámetro sólo debe especificarse si no se especificado RTE_SECURITY_CLASS o se necesita un nombre de clase de seguridad exclusivo para la autorización de recuperación de datos.
KOB_SAF_ACTION_CLASS_NAME
Especifica un nombre de clase de seguridad específico que se utilizará para la autorización Take Action. Este parámetro toma como valor predeterminado el valor del parámetro RTE_SECURITY_CLASS. Este parámetro sólo debe especificarse si se necesita un nombre de clase de seguridad exclusivo para la autorización de mandatos de actuación.
KOB_SAF_LOGON_RESOURCE_PREFIX
La autorización para iniciar sesión en la interfaz de usuario 3270 mejorada se verifica comprobando el acceso a un recurso SAF denominado con el siguiente patrón:
KOB.LOGON.
donde KOB.LOGON. es el prefijo de recurso de inicio de sesión. Este prefijo se puede cambiar estableciendo este parámetro en otro valor.
Importante: Recuerda ejecutar el trabajo PARMGEN $PARSE o la acción Configuration Manager GENERATE después de haber realizado la personalización anterior.

La interfaz de usuario 3270 mejorada proporciona una pseudo clase de seguridad denominada OMEGDEMO. Este nombre de clase se utiliza para implementar la modalidad Demo. En la modalidad Demo, no se realizan comprobaciones de autorización. Esta modalidad debe utilizarse sólo si se lo solicita el servicio de soporte de IBM. Para activar el modo Demo, consulte Uso del modo Demo.

Procedimiento

Elija los pasos que se aplican a la instalación, en función de si utiliza Configuration Manager o PARMGEN.

  • Para Configuration Manager, realice los siguientes pasos:
    1. Edite el miembro rtePlibHilev.rte_name.RTEDEF(rte_name) para especificar el nombre de la clase de recurso para el parámetro RTE_SECURITY_CLASS.
    2. Ejecute la acción GENERATE.
  • Para PARMGEN, realice los siguientes pasos:
    1. Edite el perfil de configuración del RTE para especificar el nombre de la clase de recurso para el parámetro RTE_SECURITY_CLASS.
    2. Vuelva a someter el trabajo $PARSE (o $PARSESV) para volver a crear el perfil.
    3. Someta los siguientes trabajos para actualizar el entorno de ejecución.
      • KCIJPLOD
      • KCIJPCPR (realiza copias de seguridad de las bibliotecas de usuario RKAN*)
      • KCIJPW2R (copia WKAN* en RKAN)
    Consulte Escenario RTE03: Cambio de parámetros en una RTE para obtener más información.

Qué hacer a continuación

Para completar la configuración de seguridad de la interfaz de usuario OMEGAMON enhanced 3270, un administrador de seguridad debe realizar las siguientes tareas:

Si no se ha creado ningún ID de z/OS® UNIX System Services para el espacio de direcciones, se debe crear uno.