For z/OS platforms

Activation et configuration du registre SAF sur z/OS

Le registre SAF (System Authorization Facility, ou fonction d'autorisation système) contient les informations nécessaires aux fonctions en rapport avec la sécurité, telles que l'authentification des utilisateurs et la récupération d'informations sur les utilisateurs, les groupes ou les groupes associés aux utilisateurs. Vous activez et configurez le registre SAF via le fichier de configuration server.xml. De plus, vous pouvez configurer votre serveur Liberty afin d'utiliser l'authentification SAF.

Pourquoi et quand exécuter cette tâche

En ajoutant les fonctions appropriées au fichier server.xml, vous pouvez effectuer les tâches suivantes :
  • Activez le registre d'utilisateurs SAF.
  • Configurez le registre d'utilisateurs SAF afin d'utiliser les services autorisés.
  • Autorisez les applications à utiliser le registre d'utilisateurs SAF.
  • Configurez le registre d'utilisateurs SAF.
Par défaut, le registre SAF effectue l'authentification en utilisant les services système UNIX (USS) non autorisés. Pour de meilleures performances, vous pouvez activer les services SAF autorisés en configurant les ressources SAFCRED. Pour plus d'informations, voir Activation des services autorisés z/OS sur Liberty for z/OS.

Pour des informations sur la configuration de votre serveur Liberty en vue de l'utilisation de l'autorisation SAF, voir Configuration de l'autorisation pour les applications dans Liberty.

Remarque :

Lorsque vous utilisez des registres LDAP et de base ou SAF, les registres d'utilisateurs sont automatiquement fédérés. Dans Liberty, un seul domaine est pris en charge. Si vous ne spécifiez pas de référentiel fédéré avec un domaine principal identifié, l'un des noms de domaine d'un des registres d'utilisateurs définis est utilisé.

Lorsque vous utilisez plusieurs registres et que des actions sont prises en fonction du nom de domaine de l'utilisateur, définissez le référentiel federatedRepository avec un attribut primaryRealm défini.

Procédure

  1. Activez le registre d'utilisateurs SAF. Ajoutez la fonction zosSecurity-1.0 au fichier server.xml :
    <feature>zosSecurity-1.0</feature>
    Remarque : Par défaut, le registre d'utilisateurs SAF utilise des services UNIX System Services non autorisés tels que __passwd pour procéder à l'authentification.
  2. Pour de meilleures performances, configurez le registre d'utilisateurs SAF en vue de l'utilisation de services autorisés tels que initACEE afin de procéder à l'authentification en configurant les ressources SAFCRED. Pour plus d'informations, voir Activation des services autorisés z/OS sur Liberty for z/OS.
  3. Activez la sécurité d'application en ajoutant la fonction appSecurity-2.0, ainsi que la fonction servlet-3.0 pour une application Web ou la fonction ejbLite-3.1 pour une application EJB.
    <feature>zosSecurity-1.0</feature>
    <feature>appSecurity-2.0</feature>
    <feature>servlet-3.0</feature>
    <feature>ejbLite-3.1</feature>
  4. Configurez le registre SAF en ajoutant un élément safRegistry dans le fichier server.xml :
    <safRegistry id="saf" realm="myrealm" />
    L'élément safRegistry a les attributs suivants :
    ID
    L'identifiant unique de cette instance de registre. Tout identifiant de votre choix est accepté, à condition qu'il soit différent de celui de chaque autre registre configuré, tel que le registre de base et le registre LDAP. Vous pouvez utiliser l'ID pour référencer cette instance de registre dans d'autres éléments du fichier server.xml.
    Domaine
    Domaine associé au registre SAF. Si vous ne le spécifiez pas, la valeur par défaut est le nom du plex (ECVTSPLX). Si le serveur n'est pas autorisé à utiliser les ressources SAFCRED, le domaine par défaut est obtenu du produit de sécurité, par extraction de la valeur du champ APPLDATA dans le profil SAFDFLT, sous la classe REALM. Si ce champ est vide, le superdomaine par défaut est utilisé.

Icône indiquant le type de rubrique Rubrique Tâche

Nom du fichier : twlp_config_zos_saf.html