由 RSE 守护程序进行认证

Developer for System z 可在不依赖于安全性产品的情况下执行基本 X.509 证书认证。RSE 守护程序执行的认证要求在证书扩展中定义用户标识和主机名,并且仅当 rsed.envvars 中的 enable.certificate.mapping 伪指令设置为 FALSE 时才会激活。

如果安全性产品不支持根据 X.509 证书认证用户,或者证书无法通过安全性产品执行的测试(例如,它的标识对 HostIdMappings 扩展而言不正确并且 DIGTCERT 中没有名称过滤器或定义),那么应使用此功能。

客户机将要求用户提供要使用的扩展标识(OID),这在缺省情况下是 HostIdMappings OID,即 {1 3 18 0 2 18 1}。

RSE 守护程序将使用 HostIdMappings 扩展的格式从中抽取用户标识和主机名。由安全性软件进行认证中描述了此格式。

如果符合下列所有条件,那么用户标识/主机名对有效:
注意: 由安全性管理员确保 RSE 守护程序已知的所有 CA 高度可信,原因是 RSE 守护程序不能检查签署客户机证书的人员是高度可信还是勉强可信。请参阅证书验证以了解有关可访问 CA 证书的更多信息。