Sicherheitsrisiken
Transaction Integrator (TI) kann Benutzer-ID- und Kennwortanmeldeinformationen für die Authentifizierung auf dem Mainframe bereitstellen. Sie werden in Übereinstimmung mit den vorhandenen IBM-Standards bereitgestellt, und die Mainframeauthentifizierung wird durch STANDARD-IBM-Verfahren wie Resource Access Control Facility (RACF), Top Secret usw. abgeschlossen. Die gesamte Mainframeauthentifizierung wird für den Entwickler transparent abgeschlossen.
Wenn LU 6.2 für die Konnektivität verwendet wird, werden Anmeldeinformationen in einer ATTACH-Nachricht vom Typ 5 (FMH-5) von SNA LU 6.2 Funktionsverwaltungsheader an den Mainframe übertragen. Weitere Informationen finden Sie im IBM-Handbuch, SystemsNetworkArchitectureFormats,DocumentNumberGA27-3136-16,Section11.1.5FMHeader5:Attach(LU6.2).
Wenn TCP/IP für die Konnektivität verwendet wird, werden Die Anmeldeinformationen in der von TI an den Listener gesendeten Transaktionsanforderungsnachricht (Transaction Request Message, TRM) übertragen. Es gibt einige zusätzliche Codierungsanforderungen auf dem Mainframe für TCP/IP, um Benutzerausgänge für die Authentifizierung bereitzustellen. Informationen zu CICS finden Sie unter IBMTCP/IPforz/OSCICSTCP/IPSocketInterfaceGuideandReference,DocumentNumberSC31-7131-03,Section6.6.3WritingYourOwnSecurityLinkModulefortheListener. Informationen zu IMS finden Sie unter IBMTCP/IPforz/OSIMSTCP/IPApplicationDevelopmentGuideandReference,DocumentNumberSC31-7186-03,Section3.4.4TheIMSListenerSecurityExit. Vor TCP/IP-Version 3R2 erforderte das CICS-Exitmodul den Namen EZACICSE. Sie können jedoch einen beliebigen Namen auswählen, wenn Sie TCP/IP Version 3R2 verwenden. Für IMS muss das Beendigungsmodul den Namen IMSLSECX haben.
Es gibt drei alternative Quellen für Mainframeanmeldeinformationen.
Die Identität der COM+-Anwendung, die die TI-Komponente enthält.
Die Identität des Windows-Benutzers der TI-Anwendung.
Die optionale explizite Sicherheitsüberschreibungsfunktion von TI.
Die Verwendung des expliziten Überschreibungsfeatures distanziert die Mainframesicherheit von der Windows-Sicherheit. daher wird seine Verwendung gegenüber den ersten beiden Alternativen nicht empfohlen. Die Verwendung einer der ersten beiden Alternativen integriert Mainframesicherheit in Windows-Sicherheit mithilfe der Host Integration Server Enterprise Single Sign-On-Funktionalität (ESSO).
Standardmäßig ist das Übergeben von Anmeldeinformationen an den Mainframe für die Authentifizierung nicht aktiviert. Sie müssen die Sicherheitseigenschaften der TI-Remoteumgebung (RE) aktivieren, indem Sie das Kontrollkästchen Sicherheit festlegen aktivieren. Sie müssen entweder mit Paketanmeldeinformationen authentifizieren oder Mit Benutzeranmeldeinformationen authentifizieren klicken, auch wenn Sie die explizite Sicherheitsüberschreibungsfunktion verwenden möchten.
Aktivieren Sie das Kontrollkästchen Anwendungsüberschreibung zulassen , um die explizite Sicherheitsüberschreibung auszuwählen. Diese Option ist die am wenigsten empfohlene der drei. Wenn Anwendungsüberschreibung zulassen ausgewählt, aber nicht von der Anwendung implementiert ist, wird der Sicherheitsmechanismus auf die beiden anderen von Ihnen ausgewählten Sicherheitsoptionen zurückgesetzt.
Hinweis
Die explizite Sicherheitsüberschreibung ist nicht die bevorzugte Methode zum Angeben von Anmeldeinformationen für einen Client. Wenn möglich, sollten Sie die Clientkontext-Schlüsselwörter USERID und PASSWORD außer Kraft setzen. Weitere Informationen finden Sie unter COMTIContext-Schlüsselwörter.
In diesem Abschnitt
Verwenden der optionalen Explicit-Level Überschreibung der Authentifizierung