安全含义
事务集成商 (TI) 可以提供用户 ID 和密码凭据,以便在大型机上进行身份验证。 它们按照现有 IBM 标准提供,大型机身份验证由标准 IBM 过程(如资源访问控制设施 (RACF) 、最高机密等)完成。 所有大型机身份验证都以对开发人员透明的方式完成。
使用 LU 6.2 进行连接时,凭据将传输到 SNA LU 6.2 函数管理标头类型 5 (FMH-5) ATTACH 消息中的大型机。 有关详细信息,请参阅 IBM 手册 ,系统网络体系结构格式,文档编号GA27-3136-16,第11.1.5部分 FM标头5:附加 (LU6.2) 。
使用 TCP/IP 进行连接时,凭据会从 TI 发送到侦听器的事务请求消息 (TRM) 中传输。 对于 TCP/IP,大型机存在一些额外的编码要求,以提供用户退出进行身份验证。 有关 CICS 的信息,请参阅 IBMTCP/IPforz/OSCICSTCP/IP套接字接口指南和参考,文档编号SC31-7131-03,第6.6.3 节为侦听器编写自己的安全链接模块。 有关 IMS 的信息,请参阅 IBMTCP/IPforz/OSIMSTCP/IP应用程序开发指南和参考,文档编号SC31-7186-03,第3.4.4 节 IMS侦听器安全退出。 在 TCP/IP 版本 3R2 之前,CICS 退出模块需要名称 EZACICSE。 但是,在使用 TCP/IP 版本 3R2 时,可以选择任何名称。 对于 IMS,退出模块必须命名为 IMSLSECX。
大型机凭据有三种替代源。
包含 TI 组件的 COM+ 应用程序的标识。
TI 应用程序的 Windows 用户的标识。
TI 的可选显式安全替代功能。
使用显式替代功能将大型机安全性与 Windows 安全性取消关联;因此,建议不要在前两个替代项中使用它。 使用前两种替代方案之一,通过使用 Host Integration Server Enterprise Single Sign-On (ESSO) 功能将大型机安全性与 Windows 安全性集成。
默认情况下,不启用将凭据传递到大型机进行身份验证。 必须通过选中“在检查上设置安全性”框, (RE) 安全属性激活 TI 远程环境。 即使计划使用显式安全替代功能,也必须单击“使用包凭据进行身份验证”或“使用用户凭据进行身份验证”。
若要选择显式安全替代,请选择“允许应用程序替代检查框。 此选项是三者中最不推荐的选项。 如果选择了 “允许应用程序替代” 但应用程序未实现,则安全机制将还原为选择的另外两个安全选项中的任一选项。
注意
显式安全替代不是为客户端指定凭据的首选方法。 如果可能,应使用客户端上下文 USERID 和 PASSWORD 替代关键字。 有关详细信息,请参阅 COMTIContext 关键字。