Authentifizierung durch Ihre Sicherheitssoftware

RACF führt mehrere Prüfungen durch, um ein Zertifikat zu authentifizieren und die zugehörige Benutzer-ID zurückzugeben. Beachten Sie, dass die Vorgehensweise anderer Sicherheitsprodukte hiervon abweichen kann. Informieren Sie sich in der Dokumentation zu Ihrem Sicherheitsprodukt über die Funktion initACEE, die für die Authentifizierung (den Abfragemodus) verwendet wird.
  1. RACF überprüft, ob das Zertifikat in der Klasse DIGTCERT definiert ist. Wenn das der Fall ist, gibt RACF die Benutzer-ID zurück, die diesem Zertifikat zugeordnet wurde, als es zur RACF-Datenbank hinzugefügt wurde.
    Zertifikate werden mit dem Befehl RACDCERT für RACF definiert. Sehen Sie sich dazu das folgende Beispiel an:
    RACDCERT ID(userid) ADD(dsn) TRUST WITHLABEL('label')
  2. Wenn das Zertifikat nicht definiert ist, überprüft RACF, ob in der Klasse DIGTNMAP und/oder DIGTCRIT ein passender Zertifikatnamensfilter definiert ist. Ist dies der Fall, gibt RACF die Benutzer-ID zurück, die dem Filter mit der höchsten Übereinstimmung zugeordnet ist.
    Anmerkung: Sie sollten nicht auf Namensfilter für Zertifikate zurückgreifen, die von Developer für System z verwendet werden, denn diese Filter ordnen alle Zertifikate einer einzigen Benutzer-ID zu, so dass sich alle Benutzer von Developer für System z mit derselben Benutzer-ID anmelden würden.
  3. Wenn es keinen passenden Namensfilter gibt, sucht RACF die Zertifikaterweiterung HostIdMappings und extrahiert die in die Erweiterung integrierte Kombination aus Benutzer-ID und Hostname. RACF gibt die in der Erweiterung HostIdMappings definierte Benutzer-ID zurück, sofern sie gefunden wurde und gültig ist.
    Die Kombination aus Benutzer-ID und Hostname ist gültig, wenn alle folgenden Bedingungen erfüllt sind:
    • Das CA-Zertifikat, das zum Signieren dieses Zertifikats verwendet wurde, ist in der Klasse DIGTCERT als äußerst vertrauenswürdig (HIGHTRUST) gekennzeichnet.
    • Die in der Erweiterung gespeicherte Benutzer-ID hat eine gültige Länge (1 bis 8 Zeichen).
    • Die dem RSE-Dämon zugeordnete Benutzer-ID hat für das Profil IRR.HOST.hostname der Klasse SERVAUTH mindestens die Leseberechtigung (READ). Im Profilnamen steht hostname für den in der Erweiterung gespeicherten Hostnamen. In der Regel handelt es sich um einen Domänennamen wie CDFMVS08.RALEIGH.IBM.COM.
    Die Erweiterung HostIdMappings ist gemäß ASN.1-Syntax wie folgt definiert:
    id-ce-hostIdMappings OBJECT IDENTIFIER::= {1 3 18 0 2 18 1}
    HostIdMappings::= SET OF HostIdMapping
    HostIdMapping::= SEQUENCE{
       hostName        IMPLICIT[1] IA5String,
       subjectId         IMPLICIT[2] IA5String,
       proofOfIdPossession IdProof OPTIONAL
     }
     IdProof::= SEQUENCE{
       secret        OCTET STRING,
       encryptionAlgorithm OBJECT IDENTIFIER
     }
    Anmerkung: Die Erweiterung HostIdMappings wird nicht berücksichtigt, wenn die Zielbenutzer-ID nach Beginn des Gültigkeitszeitraums für das Zertifikat mit der Erweiterung HostIdMappings erstellt wurde. Wenn Sie also Benutzer-IDs speziell für Zertifikate mit einer HostIdMappings-Erweiterung erstellen wollen, müssen Sie dies tun, bevor die Zertifikatanforderungen übergeben werden.

In der Veröffentlichung Security Server RACF Security Administrator's Guide (IBM Form SA22-7683) finden Sie weitere Informationen zu X.509-Zertifikaten, zur Verwaltung dieser Zertifikate mit RACF und zum Definieren von Zertifikatnamensfiltern. Ausführliche Informationen zum Befehl RACDCERT enthält die Veröffentlichung Security Server RACF Command Language Reference (IBM Form SA22-7687).