Siga estos pasos para permitir inicios de sesión utilizando certificados X.509. Esta configuración de ejemplo
utiliza RACF para almacenar los certificados. Tenga en cuenta que los pasos de RACF debe llevarlos a cabo un
administrador de seguridad.
- Defina los permisos iniciales relacionados con certificados para permitir que el ID de usuario de RSE, STCRSE,
acceda a su conjunto de claves RACF.
RDEFINE FACILITY IRR.DIGTCERT.LIST UACC(NONE)
RDEFINE FACILITY IRR.DIGTCERT.LISTRING UACC(NONE)
PERMIT IRR.DIGTCERT.LIST CLASS(FACILITY) ACCESS(READ) +
ID(stcrse)
PERMIT IRR.DIGTCERT.LISTRING CLASS(FACILITY) ACCESS(READ) +
ID(stcrse)
SETROPTS RACLIST(FACILITY) REFRESH
- Cree un certificado autofirmado, con la etiqueta rdzrse, para identificar el host RSE (tanto
daemon como servidor) ante el cliente.
RACDCERT ID(stcrse) GENCERT SUBJECTSDN(CN('rdz rse ssl') +
OU('rdz') O('IBM') L('Raleigh') SP('NC') C('US')) +
NOTAFTER(DATE(2017-05-21)) WITHLABEL('rdzrse') +
KEYUSAGE(HANDSHAKE)
- Añada el certificado de host RSE a un conjunto de claves de nueva creación, rdzssl.racf.
Tenga en cuenta que si utiliza un certificado de host firmado por una Autoridad de certificación (CA), el certificado
CA también debe añadirse al conjunto de claves.
RACDCERT ID(stcrse) ADDRING(rdzssl.racf)
RACDCERT ID(stcrse) CONNECT(LABEL('rdzrse') RING(rdzssl.racf) +
DEFAULT USAGE(PERSONAL))
Esto concluye la configuración de RACF para el certificado de host RSE.
- Cambie el certificado que identifica la Autoridad de certificación (CA) utilizada para firmar el certificado de
cliente a un certificado CA de alta confianza. Aunque el estado TRUST es suficiente para la validación de certificados,
se realiza el cambio HIGHTRUST, ya que se utiliza para la parte de autenticación de certificados del proceso de inicio
de sesión.
RACDCERT CERTAUTH ALTER(LABEL('HighTrust CA')) HIGHTRUST
- Añada el certificado CA al conjunto de claves, rdzssl.racf, de forma que esté disponible para
validar los certificados de cliente.
RACDCERT ID(stcrse) CONNECT(CERTAUTH LABEL('HighTrust CA') +
RING(rdzssl.racf))
Esto concluye la configuración de RACF para el certificado CA.
- Defina un recurso (formato IRR.HOST.nombrehost ) en la clase SERVAUTH para el
nombre de host, CDFMVS08.RALEIGH.IBM.COM, definido en la extensión HostIdMappings de su certificado de
cliente.
RDEFINE SERVAUTH IRR.HOST.CDFMVS08.RALEIGH.IBM.COM UACC(NONE)
- Otorgue al ID de usuario de tarea iniciada de RSE, STCRSE , acceso a este recurso con
autorización READ.
PERMIT IRR.HOST.CDFMVS08.RALEIGH.IBM.COM CLASS(SERVAUTH) +
ACCESS(READ) ID(stcrse)
- Active los cambios de la clase SERVAUTH. Utilice el primer mandato si la clase
SERVAUTH aún no está activa. Utilice el segundo para renovar una configuración activa.
SETROPTS CLASSACT(SERVAUTH) RACLIST
o bien SETROPTS RACLIST(SERVAUTH) REFRESH
Esto concluye la configuración de RACF para la extensión HostIdMappings.
- Actualice /etc/rdz/ssl.properties de forma que RSE sepa que debe utilizar la comunicación cifrada
SSL con el cliente.
enable_ssl=true
# Propiedades del daemon
daemon_keydb_file=rdzssl.racf
daemon_key_label=rdzrse
# Propiedades del servidor
server_keystore_file=rdzssl.racf
server_keystore_type=JCERACFKS
Esto concluye la configuración de RSE para SSL.
- Reinicie la tarea iniciada de RSE para empezar a aceptar inicios de sesión de clientes utilizando certificados X.509.