配置syncToOSThread

使用Liberty syncToOSThread ,授权访问 CICS 控制之外的资源,例如 zFS。

开始之前

在开始此任务之前,必须完成以下任务:

您必须具有:

  • 授权发出 RACF PERMIT 命令。
  • server.xml 配置文件的写访问权。
  • 授权在部署描述符 (web.xml) 中创建或更新应用程序安全性约束。
  • SAF 注册表必须用于认证, Liberty 授权的 SAF 服务必须可用,并且 Liberty 服务器必须连接到 Angel 进程。

关于此任务

在本任务中,您将使用 Liberty 的 syncToOSThread 功能,使经过 Liberty 验证的 Java 安全主体与操作系统(OS)线程身份同步。

如果没有syncToOSThread, ,操作系统线程标识默认为 CICS用户ID。 此身份用于授权访问 CICS 控制之外的资源,例如 zFS 文件。 在启用syncToOSThread后,用户可以使用自己的主题来访问这些操作系统资源。

此任务假定以下定义:

  • CICS 区域用户标识为 regionUserid
  • 已认证的 Java 安全主体集具有 RACF 用户标识 authenticatedUserid
  • CICS使用的配置文件前缀是 safProfilePrefix

过程

  1. 在Liberty server.xml 中配置 syncToOSThread 配置元素,并按照为应用程序启用 syncToOSThread步骤1和2,将所需的 <env-entry/> 添加到每个Web应用程序的部署描述符中。
  2. 通过以下任一配置文件配置SAF,授予Liberty服务器执行 syncToOSThread 操作的权限:
    • 授予 CICS ID CONTROL对FACILITY类中 BBG.SYNC.safProfilePrefix 配置文件的访问权限,其中在 <safCredentials/> 元素上指定了 safProfilePrefix
      PERMIT BBG.SYNC.safProfilePrefix ID(regionUserid) ACCESS(CONTROL) CLASS(FACILITY)

      此方法允许 Liberty 服务器将任何已认证的 Java 安全主体集与操作系统线程身份同步,因此可以更轻松地进行配置,但安全性控制的粒度较小。

    • 授予 CICS 区域用户标识对 FACILITY 类中 BBG.SYNC.safProfilePrefix 概要文件的 READ 访问权。 此外,授予 CICS 区域用户标识对 SURROGAT 类中一个或多个 BBG.SYNC.authenticatedUserid 概要文件的 READ 访问权:

      PERMIT BBG.SYNC.safProfilePrefix ID(regionUserid) ACCESS(READ) CLASS(FACILITY)
      PERMIT BBG.SYNC.authenticatedUserid ID(regionUserid) ACCESS(READ) CLASS(SURROGAT)
      此方法要求必须针对需要与操作系统身份同步的每个已认证用户标识授予许可权。
    限制 :在 web.xml 中配置为欢迎页面的servlet不支持 syncToOSThread。

结果

来自 Java 安全主体集的已认证 RACF 用户标识与操作系统 (OS) 线程身份同步,并用于授权访问 CICS 控制之外的资源。