用户注册表

用户注册表 (也称为安全注册表) 存储可在认证和授权期间访问的用户帐户信息 (例如用户标识和密码)。 CICS® Transaction Server for z/OS® 支持不同的用户注册。

SAF 注册表
RACF® 是 SAF 注册表,也是 的主要用户注册表。 z/OS RACF 是 外部安全性管理器 (ESM) ,它提供比用户注册表更多的功能。 有关更多信息,请参阅 How it works: Securing CICS with RACF。 ESM 通过 SAF 接口进行访问。 在有关 CICS Liberty 支持的文档中,您可能会看到术语 SAF 注册表。 它表示 RACF 或备用 ESM。
在 z/OS上,对 SAF 注册表的访问被视为 授权服务 。 要访问此类授权服务,调用者需要使用下列其中一种方法:
  1. 用于调用授权服务的 SVC 例程。
  2. 对另一地址空间的程序调用 (PC) 指令,它本身是授权的。
当 CICS 安全域对 SAF 进行调用时,它可以使用其 SVC 例程 DFHCSVC (从授权 LPA 装入) 对 SAF 进行授权调用 (选项 1)。 但是,此选项不可用于 Liberty JVM 服务器,因为 CICS SVC 是专用接口。 相反,选项 2 是 Liberty 在 z/OS上使用的模型。 Angel 进程 是 CICS TS 中的 Liberty JVM 服务器使用 SAF 授权服务所需的长时间运行的启动式任务。 Angel 进程配置为运行授权服务, Liberty 服务器可以连接到该进程以调用授权服务。 对其服务的访问由 SAFCRED 资源概要文件控制。 在 CICS 区域中运行时,使用概要文件是 Liberty 服务器向 SAF 注册表认证用户的唯一方法。

Liberty 还提供了在 Angel 进程不可用时故障转移到未经授权的 UNIX 系统服务以认证请求的能力。 但是,在 CICS中运行 Liberty JVM 服务器时,不支持此选项。

轻量级目录访问协议 (LDAP) 注册表

LDAP 是用于访问分布式目录信息服务的开放式行业标准应用程序协议。 在企业中广泛用于认证用户和检索用户组。 CICS TS 可以使用 LDAP 来检索证书撤销列表 (CRL) 或通过 LDAP XPI 函数和 XWBAUTH 全局用户出口为 Web 请求创建基本认证凭证。 在 CICS TS 中运行的 Liberty JVM 服务器也可以连接到 LDAP 注册表以执行认证和授权。

基本注册表
如果将 CICS TS 与 Liberty 结合使用,基本注册表还提供了一个额外选项。 基本注册表在 server.xml 文件中提供了一个简单的基于文本的注册表。 对 server.xml 的访问不受 RACF控制。
建议: 建议不要将此注册表类型用于除测试以外的任何用途,因为此注册表未与 CICS Liberty 安全性集成或未与 RACF同步。