z/OS 보안에서 분산 ID 필터 구성

safCredentials 구성의 mapDistributedIdentities 속성이 true로 설정된 경우 분산 ID 필터를 구성해야 합니다.

이 태스크 정보

분산 ID를 SAF(System Authorization Facility) 사용자에 맵핑하기 전에 먼저 z/OS 보안에서 분산 ID 필터를 구성해야 합니다.

SAF 클래스 RACMAP의 분산 ID 필터는 분산 사용자 이름과 분산 사용자 이름의 영역 이름으로 구성됩니다. 다수의 분산 ID를 하나의 SAF 사용자에 맵핑하도록 필터를 구성하거나 일대일 맵핑을 가질 수 있습니다.

다음 예제에서는 RACMAP 명령을 사용하는 분산 ID 필터를 작성하는 데 필요한 구문을 보여줍니다.
RACMAP ID(<SAFUser>) MAP USERDIDFILTER(NAME('<distributedUserId>'))
REGISTRY(NAME('<distributedRealmName>'))
    WITHLABEL('<someLabel>')
    
예제에서:
  • SAFUser 요소는 z/OS 보안의 SAF 사용자입니다.
  • distributedUserID 요소는 분산 ID입니다.
  • distributedRealmName 요소는 분산 ID의 영역 이름입니다.
  • someLabel 요소는 이 분산 ID 필터에 대해 설명하는 필드입니다.

LDAP 및 기본 또는 SAF 레지스트리를 사용하는 경우, 사용자 레지스트리가 자동으로 연합됩니다. Liberty에서, 하나의 영역만 지원됩니다. 기본 영역을 식별하고 연합 저장소를 지정하지 않으면 정의된 사용자 레지스트리 중 하나에서 영역 이름 중 하나가 사용됩니다.

다중 레지스트리를 사용하고 사용자의 영역 이름을 기반으로 조치를 취하는 경우 primaryRealm 속성을 정의하고 federatedRepository를 정의하십시오.

프로시저

  1. IDIDMAP 클래스를 활성화하십시오. 이 명령은 시작 시 한 번만 실행하면 됩니다. SETROPTS CLASSACT(IDIDMAP) RACLIST(IDIDMAP)
  2. RACMAP 프로파일을 편집한 후 변경사항을 적용하려면 다음 명령을 사용해야 합니다. SETROPTS RACLIST(IDIDMAP) REFRESH

Liberty z/OS에서, distributedRealmName은 LDAP URL에 형식이 없습니다. 그 대신, distributedRealmName을 위한 RACMAP 프로파일에 설정할 값은 federatedRepository 요소의 primaryRealm 이름에서 가져옵니다. federatedRepository 요소가 코드화되지 않은 경우 Liberty는 각 사용자 레지스트리 동안 요소에 설정된 영역 속성에서 distributedRealmName을 판별합니다.

다음 예제는 영역 이름이 'FEDREALM'일 때 Liberty z/OS 서버에 대해 SAF 사용자(USER1)에 맵핑된 LDAP 사용자(LDAPUser1)를 보여줍니다.

      RACMAP ID(USER1)  MAP USERDIDFILTER(NAME('CN=LDAPUser1,o=ibm,c=us')) 
                REGISTRY(NAME('FEDREALM')) WITHLABEL('Mapping LDAP
                LDAPUser1 to USER1')
다음 예제는 예제 RACMAP 프로파일과 함께 사용될 수 있는 federatedRepository 요소를 보여줍니다.
<federatedRepository>
        <primaryRealm name="FEDREALM">
        </primaryRealm>
        </federatedRepository>
문제점 예방:

SAF 사용자 레지스트리를 포함하는 연합된 레지스트리와 함께 Liberty z/OS에서 분산 ID 필터를 사용하려면 federatedRepository 요소의 primaryRealm 이름 속성에서 distributedRealmName을 지정하는 것이 가장 좋습니다.

distributedRealmNamefederatedRepository 요소의 primaryRealm 이름 속성을 사용하여 지정되지 않으면 Liberty z/OS에서 사용하는 distributedRealmName이 사용자가 기대한 것이 아닐 수도 있습니다.

primaryRealm을 사용하여 지정되지 않은 경우 RACMAP 검사를 위한 distributedRealmName은 사용자의 server.xml 파일에서 각 사용자 레지스트리가 구성된 방식에 따라 다수의 여러 소스에서 파생될 수 있습니다.

혼돈을 방지하려면 primaryRealm 속성을 사용하여 distributedRealmName을 지정하십시오.


주제의 유형을 표시하는 아이콘 태스크 주제

파일 이름: twlp_config_dist_idfilter.html