
Filter für verteilte Identität in z/OS-Sicherheit konfigurieren
Filter für verteilte Identität müssen konfiguriert werden, wenn das Attribut mapDistributedIdentities im Konfigurationselement safCredentials auf true gesetzt ist.
Informationen zu diesem Vorgang
Bevor Sie SAF-Benutzern (System Authorization Facility) verteilte Identitäten zuordnen, müssen Sie zuerst in der z/OS-Sicherheit Filter für verteilte Identität konfigurieren.
Der Filter für verteilte Identität in der SAF-Klasse RACMAP besteht aus dem verteilten Benutzernamen und dem Realmnamen des verteilten Benutzernamens. Sie können die Filter so konfigurieren, dass einem einzigen SAF-Benutzer viele verteilte Identitäten zugeordnet werden, oder Sie können eine Eins-zu-eins-Zuordnung verwenden.
RACMAP ID(<SAFUser>) MAP USERDIDFILTER(NAME('<distributedUserId>'))
REGISTRY(NAME('<distributedRealmName>'))
WITHLABEL('<someLabel>')
- Das Element SAFUser ist der SAF-Benutzer in der z/OS-Sicherheit.
- Das Element distributedUserID ist die verteilte Identität.
- Das Element distributedRealmName ist der Realmname der verteilten Identität.
- Das Element someLabel ist ein Feld, das diesen Filter für verteilte Identität beschreibt.
Wenn Sie LDAP- und Basis- oder SAF-Registrys verwenden, werden die Benutzerregistrys automatisch eingebunden. In Liberty wird nur ein Realm unterstützt. Wenn Sie kein eingebundenes Repository mit einem angegebenen primären Realm angeben, wird einer der Realmnamen aus einem der definierten Benutzerregistrys verwendet.
Wenn Sie mehrere Registrys verwenden und Aktionen basierend auf dem Realmnamen des Benutzers ausführen, definieren Sie das federatedRepository mit einem definierten primaryRealm-Attribut.
Vorgehensweise
- Aktivieren Sie die Klasse IDIDMAP. Dieser Befehl muss nur am Anfang ein einziges Mal ausgeführt werden. SETROPTS CLASSACT(IDIDMAP) RACLIST(IDIDMAP)
- Nachdem Sie die RACMAP-Profile bearbeitet haben, müssen Sie den folgenden Befehl verwenden, damit die Änderungen wirksam werden: SETROPTS RACLIST(IDIDMAP) REFRESH
Beispiel
In Liberty z/OS hat distributedRealmName nicht das Format für eine LDAP-URL. Stattdessen kommt der Wert, den Sie für das RACMAP-Profil für distributedRealmName setzen müssen, von dem primaryRealm-Namen des federatedRepository-Elements. Wenn das federatedRepository-Element nicht codiert ist, ermittelt Liberty den Wert für distributedRealmName aus dem Realattribut, das für die Elemente während der jeweiligen Benutzerregistrierung festgelegt wurde.
Das folgende Beispiel veranschaulicht, wie der LDAP-Benutzer (LDAPUser1) dem SAF-Benutzer (USER1) für einen Liberty-z/OS-Server zugeordnet wird, wenn der Realmname 'FEDREALM' ist.
RACMAP ID(USER1) MAP USERDIDFILTER(NAME('CN=LDAPUser1,o=ibm,c=us'))
REGISTRY(NAME('FEDREALM')) WITHLABEL('Mapping LDAP
LDAPUser1 to USER1')
<federatedRepository>
<primaryRealm name="FEDREALM">
</primaryRealm>
</federatedRepository>
Wenn Sie die Verwendung von verteilten Identitätsfiltern in Liberty z/OS mit einem eingebundenen Repository auswählen, das eine SAF-Benutzerregistry beinhaltet, sollten Sie am besten distributedRealmName mit dem Namensattribut primaryRealm des federatedRepository-Element angeben.
Wenn distributedRealmName nicht über das Namensattribut primaryRealm des federatedRepository-Elements angegeben wird, ist das Ergebnis, das über die Angabe des von Liberty z/OS für distributedRealmName verwendeten Werts erzielt wird, möglicherweise nicht das von Ihnen erwartete Ergebnis.
Wenn der Wert nicht über die Verwendung von primaryRealm angegeben wird, kann der distributedRealmName für die RACMAP-Überprüfung aus einer Reihe von unterschiedlichen Quellen abgeleitet werden, je nachdem, wie die jeweilige Benutzerregistry in Ihrer Datei server.xml konfiguriert ist.
Zur Vermeidung von Unklarheiten geben Sie distributedRealmName über das Attribut primaryRealm an.