HTTP管理不属于任何CICSplex CICS ,必须在此区域设置 CICS (CMCI ),将其转换为 CICS(SMSS )。 您可以配置基本 CMCI 或 CMCI JVM 服务器。
CMCI JVM 服务器 是支持 CMCI REST API ,增强型客户机认证, CMCI GraphQL API 和 CICS® 束部署 API的 Liberty 服务器。
这些指示信息涵盖如何在 单个 CICS 区域中安装 CMCI JVM 服务器 ,包括如何除去任何现有基本 CMCI 配置 (如果有)。 通过将 CPSMCONN 系统初始化参数设置为 SMSSJ,将在 SMSS 区域中自动创建 CMCI JVM 服务器 (EYUCMCIJ)。 将自动创建 CMCI JVM 服务器 所需的资源,并自动配置该服务器。 然后,将 DD 语句添加到 EYUSMSS 数据集的区域以初始化该数据集。 还提供了用于进一步配置 CMCI JVM 服务器 的样本 JVM 概要文件 (EYUSMSSJ.jvmprofile)。
开始之前
- 规划 CMCI 设置
- 要在 CMCI 中使用增强型客户机认证,例如多因子认证 (MFA) , CMCI GraphQL API 或 CICS 束部署 API (需要额外配置) ,必须将 CMCI JVM 服务器 与 CMCI 配合使用。
- CMCI JVM 服务器 必须专用于托管 CMCI。 请勿使用 CMCI JVM 服务器 来托管其他应用程序。 由于 CICS 区域可以托管多个 JVM 服务器,因此请使用单独的 JVM 服务器来运行应用程序。
估算 CMCI 的存储需求。
可以使用以下值作为 24 位和 31 位存储器的初始估计值:
- 24 位存储器:512 KB
- 31 位存储器:100 MB
这是因为提供的 JVM 概要文件禁止使用共享库区域,这将减少所需的非CICS 31 位存储量。 缺省情况下,为 CMCI JVM 服务器 自动创建的 JVMSERVER 资源的 THREADLIMIT 属性值为 15。 例如,随着工作负载的变化,如果您更改了线程数,那么需要重新计算存储需求,如 计算 JVM 服务器的存储需求中所述。
对于 64 位存储器,计算其需求,如 估算 CMCI 的存储器需求中所述。
- CMCI JVM 服务器 的系统需求
- CICS 区域必须位于具有 APAR PH35122的 CICS TS 5.6 或更高发行版。
- 验证是否已安装所有必需的 Java™ 组件。 您可以遵循 Java 组件核对表。
- 您必须已在 CICS中设置 Java 支持。 即,您还设置了 JVM 概要文件位置,并授予 CICS 区域必需的访问权。 有关指示信息,请参阅 设置 Java 支持。
- 启用与多因子认证 (MFA) 凭证的连接的其他需求
- 您必须具有 IBM® Multi-Factor Authentication for z/OS® 或配置了 RACF® 以支持 多因子认证的等效产品。 如果您使用备用外部安全性管理器 (ESM),请参阅供应商说明以获取详细信息。
- 启用 CICS 束部署 API 的其他需求
- 有关使用 API 配置区域所需的最低 CICS TS 版本,请参阅 为 CICS 束部署 API 配置 CMCI JVM 服务器中的软件需求。
- CICS Explorer® 中高级功能的其他需求
- 有关聚集功能, " 映射 " 视图以及 CICS Explorer中的 MFA 凭证登录的区域版本需求,请参阅 配置 CICS Explorer。
过程
如果您所在区域尚未配置任何 CMCI ,请 跳至步骤 2。
- 如果已使用基本 CMCI 配置 CICS 区域,请 除去在 配置基本 CMCI时安装的 TCPIPSERVICE 和 URIMAP 资源,并确保在 CICS 重新启动时未重新安装这些资源。 例如,可以将它们从 CICS 启动时自动安装的任何组列表中除去。
这是为了避免与 CMCI JVM 服务器所需的资源发生冲突。 如果区域从先前安装的资源开始,并且配置了 CMCI JVM 服务器 ,那么将发出 EYUNX0110WEYUNX0110W 或 EYUNX0013E 。
- 查看或更改 CICS 启动 JCL:
- 确保将 hlq.CPSM.SEYUAUTH 库添加到 STEPLIB 并置,其中 hlq 是高级限定符; 例如 CICSTS56
- 确保将 hlq.CPSM.SEYULOAD 库添加到 DFHRPL 并置,其中 hlq 是高级限定符; 例如 CICSTS56
这些库必须与 CICS的 CICS TS 级别相同; 即,与 CICS hlq.CICS.SDFHAUTH 和 CICS hlq. STEPLIB 并置中的CICS.SDFHLOAD 库相同。
- 根据您从 "开始之前" 的步骤 3 中获得的估算值,对以下参数指定存储限制。
| 参数 |
存储器受影响 |
EDSALIM 系统初始化参数 |
31 位 (高于 16 MB ,高于线) 存储器
|
| z/OS MEMLIMIT 参数 |
64 位 (高于界线) 存储器 |
| z/OS REGION 参数 |
24 位存储器 (低于 16 MB ,低于线)
31 位存储器
|
- 向区域添加以下系统初始化参数:
| SIT 参数 |
描述 |
| CPSMCONN=SMSSJ |
自动创建名为 EYUCMCIJ 的 Liberty JVM 服务器,该服务器将运行 CMCI JVM 服务器。 |
| 区域 SIT 参数与 CMCI JVM 服务器配置元素之间的映射 表中的其他系统初始化参数 |
CMCI JVM 服务器 是使用这些映射系统初始化参数的值自动配置的。 根据需要复审并更新这些参数。 例如,如果需要对 CMCI 启用认证,那么需要将 SEC 设置为 YES 以对 CMCI JVM 服务器启用 Liberty 安全性。
|
- 指定 CMCI 选项和 TCP/IP 选项以在区域中启用 CMCI。
配置 CMCI JVM 服务器 及其安全性
- 为 CMCI JVM 服务器创建 JVM 概要文件。
- 将 EYUSMSSJ.jvmprofile 从其安装位置复制到 JVMPROFILEDIR 参数上指定的位置以进行定制。 如果尚未设置 JVMPROFILEDIR,请参阅 设置 JVM 概要文件的位置。
安装位置由
USSHOME上指定的根目录控制。 缺省安装位置为
/usr/lpp/cicsts/cicsts56/JVMProfiles。
- 验证或更新 JVM 概要文件中 JAVA_HOME 和 WORK_DIR 选项的值。
- 验证是否已在 EYUSMSSJ.jvmprofile中设置
-Dcom.ibm.ws.zos.core.angelRequired=true 和 -Dcom.ibm.ws.zos.core.angelRequiredServices=SAFCRED,PRODMGR,ZOSAIO 。
- 确保已创建类
SERVER 中的 RACF 概要文件 BBG.AUTHMOD.BBGZSAFM.SAFCRED, BBG.AUTHMOD.BBGZSAFM.PRODMGR 和 BBG.AUTHMOD.BBGZSAFM.ZOSAIO ,并且已授予 CICS 区域用户标识对这些概要文件的 READ 访问权。 请参阅 在 Liberty for z/OS上启用 z/OS 授权服务。
- 如果要选择包含 CMCI JVM 服务器的区域来共享安全性配置,请为这些区域指定相同的 SAF 概要文件前缀。
注: SAF 概要文件前缀由 SAF 授权用于确定 CICS 区域使用的 RACF 规则。 将自动为 CMCI JVM 服务器启用 SAF 授权。
例如,在认证 CICS 束部署 API的用户时,具有相同 SAF 概要文件前缀的 CICS 区域中的 CMCI JVM 服务器将允许相同用户访问 API。
对于 CMCI JVM 服务器, SAF 概要文件前缀缺省为区域的 APPLID 。 要将其覆盖,请将以下行添加到 JVM 概要文件:
-Dcom.ibm.cics.jvmserver.wlp.saf.profilePrefix=${MYPREFIX}
其中
${MYPREFIX} 指定需要共享安全性配置的 CICS 区域的 SAF 概要文件前缀。
- 缺省情况下, CMCI JVM 服务器 会启用 SAF 授权。 然后,您需要配置 Liberty Angel 进程以使用 z/OS 授权服务 (包括 SAF)。
如果没有 Liberty Angel 进程,请创建 Liberty Angel 进程,或者使用现有 Liberty Angel 进程。 您可以使用缺省 Liberty Angel 或指定 Angel ,前提是 Angel 进程的 Liberty 版本与 CICS中运行的 Liberty 版本相同或更高。 如果缺省值与该条件不匹配,请更新该条件或使用指定的 Angel 进程。 有关如何配置 Liberty Angel 进程,标识现有 Angel 进程的 Liberty 版本或指定指定 Angel 进程的指示信息,请参阅
Liberty 服务器 Angel 进程。
- 允许包含 CMCI JVM 服务器 的区域的用户标识使用 Liberty Angel 进程。
如果您正在使用 RACF,那么可以使用 SEYUSAMP 中的样本 CLIST EYU$ANGL 来为区域创建 RACF 定义以使用 Liberty Angel 进程,如下所示:
- 获取 SEYUSAMP 中 CLIST EYU$ANGL 的副本。
- 通过指定以下变量来更新副本:
- WUI_REGION_USERID
- 指定用于运行包含 CMCI JVM 服务器 的区域的用户标识。
- ANGEL_NAME
- 如果正在使用指定的 Angel 进程,那么值为
ANGEL.name,其中 name 是 -Dcom.ibm.ws.zos.core.angelName 属性的值。如果未使用指定的 Angel 进程(未指定 -Dcom.ibm.ws.zos.core.angelName),那么该值为 ANGEL。
- 运行 CLIST。
如果您使用的是 RACF以外的外部安全管理器,请参阅外部产品的文档以获取指示信息。
- 从 CMCI JVM 服务器 开始,缺省情况下未分类为在 CJSU 事务下运行的 Web 请求的任务。 如果事务安全性在包含 CMCI JVM 服务器的区域中处于活动状态,请授予 CICS 缺省用户标识对 CJSU 事务的访问权。
- 使用户能够通过 CMCI JVM 服务器进行认证。
您必须授予用户访问权以向
CMCI JVM 服务器进行认证,包括使用 CMCI 的权限。
如果您正在使用 RACF,那么必须定义 RACF EJBROLE 概要文件 &PROFILE_PREFIX.CMCI.CMCIUSER ,并授予所有 CMCI 用户对此概要文件的读访问权。 为此,您可以更新 SEYUSAMP 中的样本 CLIST EYU$CMCI ,如下所示:
- 获取 SEYUSAMP 中 CLIST EYU$CMCI 的副本。
- 通过指定以下变量来更新副本:
- WUI_REGION_USERID
- 指定用于运行包含 CMCI JVM 服务器 的区域的用户标识。
- WUI_APPLID
- 指定包含 CMCI JVM 服务器的区域的 APPLID 。
- CMCIUSER_ACCESS_LIST
- 指定将通过 CICS Explorer访问 CMCI 的用户或用户组的列表。
- profile_prefix
- 在 EJBROLE 类中指定 SAF 概要文件的前缀。 缺省情况下,这是包含 CMCI JVM 服务器的区域的 APPLID 。 如果在步骤 6.e的 JVM 概要文件中的 com.ibm.cics.jvmserver.wlp.saf.profilePrefix 属性上指定了 SAF 概要文件前缀。 您可以通过将 PROFILE_PREFIX 设置为 com.ibm.cics.jvmserver.wlp.saf.profilePrefix上指定的值来覆盖缺省值。
- (可选) 您可以根据需要覆盖以下选项上的缺省值:
- NOTIFY
- 发生访问违例时要通知的 TSO 用户标识。 缺省值为
IBMUSER。
- 所有者
- 概要文件所有者的 TSO 用户标识。 缺省值为
IBMUSER。
- PROGRAM_CLASS
- RACF 程序分组类的名称。 缺省值为
NCICSPPT。
- 运行 CLIST。
如果您使用的是 RACF以外的外部安全管理器,请参阅外部产品的文档以获取指示信息。
下一步操作
如果要限制可以连接到 CMCI JVM 服务器的客户机,那么可以将客户机允许列表定义到 CMCI JVM 服务器。 有关指示信息,请参阅 在 CICSplex 中定义 CMCI JVM 服务器的客户机允许列表。
如果要通过 CICS 束部署 API来部署 CICS 束,那么必须对 CMCI JVM 服务器执行其他配置。 有关指示信息,请参阅 为 CICS 束部署 API 配置 CMCI JVM 服务器。