Authentifizierung durch den RSE-Dämon

Developer für System z kann ohne Ihr Sicherheitsprodukt eine Basisauthentifizierung mit einem X.509-Zertifikat durchführen. Für die Authentifizierung durch den RSE-Dämon müssen in einer Zertifikaterweiterung eine Benutzer-ID und ein Hostname definiert sein. Diese Art der Authentifizierung ist nur aktiviert, wenn die Anweisung enable.certificate.mapping in rsed.envvars auf FALSE gesetzt ist.

Auf diese Funktion können Sie zurückgreifen, wenn Ihr Sicherheitsprodukt keine Unterstützung für die Authentifizierung eines Benutzers auf der Grundlage eines X.509-Zertifikats bietet oder wenn Ihr Zertifikat nicht die Tests Ihres Sicherheitsprodukts besteht (weil es beispielsweise eine fehlerhafte Kennung für die Erweiterung HostIdMappings hat und DIGTCERT keinen Namensfilter oder keine Namensdefinition enthält).

Der Client erfragt beim Benutzer die zu verwendende Erweiterungs-ID (OID), bei der es sich standardmäßig um die HostIdMappings-OID {1 3 18 0 2 18 1} handelt.

Der RSE-Dämon extrahiert aus dem Format der Erweiterung HostIdMappings die Benutzer-ID und den Hostnamen. Das Format dieser Erweiterung ist im Abschnitt Authentifizierung durch Ihre Sicherheitssoftware beschrieben.

Die Kombination aus Benutzer-ID und Hostname ist gültig, wenn alle folgenden Bedingungen erfüllt sind:
Achtung: Der Sicherheitsadministrator muss sicherstellen, dass alle dem RSE-Dämon bekannten Zertifizierungsstellen (CAs, Certificate Authorities) äußerst vertrauenswürdig sind, denn der RSE-Dämon kann nicht überprüfen, ob der Unterzeichner des Clientzertifikats äußerst vertrauenswürdig oder nur vertrauenswürdig ist. Im Abschnitt Gültigkeitsprüfung für Zertifikate finden Sie weitere Informationen zu verfügbaren CA-Zertifikaten.