Activación y configuración del registro SAF en z/OS

El registro SAF (System Authorization Facility) contiene información que es necesaria para realizar funciones relacionadas con la seguridad, por ejemplo, autenticar usuarios y recuperar información sobre usuarios, grupos o grupos asociados con usuarios. El registro SAF se activa y configura mediante el archivo de configuración server.xml. Además, puede configurar el servidor de Liberty para utilizar la autorización SAF.

Acerca de esta tarea

Si añade las características al archivo server.xml, puede llevar a cabo las siguientes tareas:
  • Active el registro de usuarios SAF.
  • Configure el registro de usuarios SAF para utilizar los servicios autorizados.
  • Habilite aplicaciones para utilizar el registro de usuarios SAF.
  • Configure el registro de usuarios SAF.
De forma predeterminada, el registro SAF utiliza USS (UNIX System Services) no autorizados para realizar la autenticación. Para obtener un mejor rendimiento, puede habilitar los servicios SAF autorizados configurando los recursos SAFCRED. Para obtener más información, consulte Habilitación de los servicios autorizados de z/OS en Liberty para z/OS.

Para obtener información sobre cómo configurar el servidor de Liberty para utilizar la autorización SAF, consulte Configuración de la autorización para aplicaciones en Liberty

Nota:

Cuando utiliza registros LDAP y Básico o SAF, los registros de usuario se federan automáticamente. En Liberty, sólo se soporta un reino. Si no especifica un repositorio federado con un reino primario identificado, se utiliza uno de los nombres de reino de uno de los registros de usuario definidos.

Cuando utilice varios registros y esté realizando acciones basándose en el nombre de reino del usuario, defina federatedRepository con un atributo primaryRealm definido.

Procedimiento

  1. Active el registro de usuarios SAF. Añada la característica zosSecurity-1.0 al archivo server.xml:
    <feature>zosSecurity-1.0</feature>
    Nota: De forma predeterminada, el registro de usuarios SAF utiliza servicios no autorizados UNIX System Services como __passwd para realizar la autenticación.
  2. Para obtener un mejor rendimiento, configure el registro de usuarios SAF para utilizar los servicios autorizados como initACEE para realizar la autenticación configurando los recursos SAFCRED. Para obtener más información, consulte Habilitación de los servicios autorizados de z/OS en Liberty para z/OS.
  3. Habilite la seguridad de aplicaciones añadiendo la característica appSecurity-2.0, junto con la característica servlet-3.0 para la aplicación web o la característica ejbLite-3.1 para las aplicaciones EJB.
    <feature>zosSecurity-1.0</feature>
    <feature>appSecurity-2.0</feature>
    <feature>servlet-3.0</feature>
    <feature>ejbLite-3.1</feature>
  4. Configure el registro SAF añadiendo un elemento safRegistry en el archivo server.xml:
    <safRegistry id="saf" realm="myrealm" />
    El elemento safRegistry tiene los siguientes atributos:
    ID
    El ID que identifica de forma exclusiva esta instancia de registro. El ID puede ser cualquier cosa que desee, pero debe ser exclusivo respecto a otros registros configurados como el registro básico y el registro LDAP. Puede utilizar el ID para hacer referencia a esta instancia de registro en otros elementos del archivo server.xml.
    realm
    El reino que está asociado con el registro SAF. Si no especifica un reino, el valor predeterminado es el nombre de plex (ECVTSPLX). Si el servidor está autorizado a utilizar los recursos de SAFCRED, el reino predeterminado se lee del producto SAF extrayendo el campo APPLDATA en el perfil SAFDFLT bajo la clase REALM. Si ese campo está vacío, se utiliza el reino predeterminado.

Icono que indica el tipo de tema Tema de tarea

Nombre de archivo: twlp_config_zos_saf.html