Configuración de filtros de identidad distribuida en la seguridad de z/OS
Deben configurarse filtros de identidad distribuida cuando el atributo mapDistributedIdentities en el elemento de configuración safCredentials se establece en true.
Acerca de esta tarea
Antes de correlacionar identidades distribuidas con usuarios de System Authorization Facility (SAF), primero debe configurar filtros de identidad distribuida en la seguridad de z/OS.
El filtro de identidad distribuida en la clase SAF RACMAP está formado por el nombre de usuario distribuido y el nombre de reino del nombre de usuario distribuido. Puede configurar los filtros para correlacionar varias identidades distribuidas con un usuario SAF o puede tener una correlación unívoca.
RACMAP ID(<SAFUser>) MAP USERDIDFILTER(NAME('<distributedUserId>'))
REGISTRY(NAME('<distributedRealmName>'))
WITHLABEL('<someLabel>')
- El elemento SAFUser es el usuario SAF en la seguridad de z/OS.
- El elemento distributedUserID es la identidad distribuida.
- El elemento distributedRealmName es el nombre de reino de la identidad distribuida.
- El elemento someLabel es un campo que describe este filtro de identidad distribuida.
Cuando utiliza registros LDAP y Básico o SAF, los registros de usuario se federan automáticamente. En Liberty, sólo se soporta un reino. Si no especifica un repositorio federado con un reino primario identificado, se utiliza uno de los nombres de reino de uno de los registros de usuario definidos.
Cuando utilice varios registros y esté realizando acciones basándose en el nombre de reino del usuario, defina federatedRepository con un atributo primaryRealm definido.
Procedimiento
- Active la clase IDIDMAP. Este mandato debe ejecutarse sólo una vez al principio. SETROPTS CLASSACT(IDIDMAP) RACLIST(IDIDMAP)
- Después de editar los perfiles RACMAP, debe utilizar el siguiente mandato para que los cambios entren en vigor: SETROPTS RACLIST(IDIDMAP) REFRESH
Ejemplo
En Liberty z/OS, distributedRealmName no tiene el formato en un URL LDAP. En su lugar, el valor que debe establecer en el perfil RACMAP para nombreReindoDistribuido proviene del nombre primaryRealm del elemento federatedRepository. Si el elemento federatedRepository no está codificado, Liberty determina el distributedRealmName a partir del atributo de reino que se establece para los elementos durante cada registro de usuarios.
El ejemplo siguiente ilustra el usuario LDAP (LDAPUser1) correlacionado con el usuario SAF (USER1) para un servidor z/OS de Liberty cuando el nombre de reino es 'FEDREALM'.
RACMAP ID(USER1) MAP USERDIDFILTER(NAME('CN=LDAPUser1,o=ibm,c=us'))
REGISTRY(NAME('FEDREALM')) WITHLABEL('Mapping LDAP
LDAPUser1 to USER1')
<federatedRepository>
<primaryRealm name="FEDREALM">
</primaryRealm>
</federatedRepository>
Si elige utilizar filtros de identidad distribuida en Liberty z/OS con un repositorio federado que incluye un registro de usuarios SAF, es mejor especificar distributedRealmName en el nombre de atributo primaryRealm del elemento federatedRepository.
Si distributedRealmName no se especifica utilizando el atributo de nombre primaryRealm del elemento federatedRepository, es posible que el distributedRealmName que Liberty z/OS utiliza no sea lo que se espera.
Si no se especifica utilizando primaryRealm, el distributedRealmName para la comprobación de RACMAP puede obtenerse de diversas fuentes diferencia, dependiendo de cómo se haya configurado cada registro de usuario en el archivo server.xml.
Para evitar confusiones, especifique el distributedRealmName utilizando el atributo primaryRealm.