Configuration de filtres d'identité distribuée dans la sécurité z/OS
Des filtres d'identité distribuée doivent être configurés lorsque l'attribut mapDistributedIdentities de l'élément de configuration safCredentials est défini sur true.
Pourquoi et quand exécuter cette tâche
Avant de mapper des identités distribuées aux utilisateurs SAF (System Authorization Facility), vous devez d'abord configurer des filtres d'identité distribuée dans la identité distribuée z/OS.
Le filtre d'identité distribuée dans la commande RACMAP de classe SAF se compose du nom d'utilisateur et du nom de domaine du nom d'utilisateur distribué. Vous pouvez configurer les filtres afin de mapper de nombreuses identités distribuées à un utilisateur SAF ou vous pouvez avoir un mappage un à un.
RACMAP ID(<SAFUser>) MAP USERDIDFILTER(NAME('<distributedUserId>'))
REGISTRY(NAME('<distributedRealmName>'))
WITHLABEL('<someLabel>')
- L'élément SAFUser est l'utilisateur SAF dans la sécurité z/OS.
- L'élément distributedUserID est l'identité distribuée.
- L'élément distributedRealmName est le nom de domaine de l'identité distribuée.
- L'élément someLabel est une zone qui décrit ce filtre d'identité distribuée.
Lorsque vous utilisez des registres LDAP et de base ou SAF, les registres d'utilisateurs sont automatiquement fédérés. Dans Liberty, un seul domaine est pris en charge. Si vous ne spécifiez pas de référentiel fédéré avec un domaine principal identifié, l'un des noms de domaine d'un des registres d'utilisateurs définis est utilisé.
Lorsque vous utilisez plusieurs registres et que des actions sont prises en fonction du nom de domaine de l'utilisateur, définissez le référentiel federatedRepository avec un attribut primaryRealm défini.
Procédure
- Activez la classe IDIDMAP. Cette commande doit s'exécuter une seule fois au début. SETROPTS CLASSACT(IDIDMAP) RACLIST(IDIDMAP)
- Après avoir édité les profils RACMAP, vous devez utiliser la commande suivante pour que les modifications soient appliquées : SETROPTS RACLIST(IDIDMAP) REFRESH
Exemple
Dans Liberty z/OS, l'élément distributedRealmName ne possède pas le format d'une URL LDAP. En revanche, la valeur que vous devez définir dans le profil RACMAP pour distributedRealmName provient du nom primaryRealm de l'élément federatedRepository. Si l'élément federatedRepository n'est pas codé, Liberty détermine l'élément distributedRealmName à partir de l'attribut de domaine défini pour les éléments pour chaque registre d'utilisateurs.
L'exemple suivant illustre l'utilisateur LDAP (LDAPUser1) mappé à utilisateur SAF (USER1) pour un serveur Liberty z/OS quand le nom de domaine est 'FEDREALM'.
RACMAP ID(USER1) MAP
USERDIDFILTER(NAME('CN=LDAPUser1,o=ibm,c=us'))
REGISTRY(NAME('FEDREALM')) WITHLABEL('Mapping LDAP
LDAPUser1 to USER1')
<federatedRepository>
<primaryRealm name="FEDREALM">
</primaryRealm>
</federatedRepository>
Si vous choisissez d'utiliser des filtres d'identités distribuées dans Liberty z/OS avec un référentiel fédéré qui inclut un registre d'utilisateurs SAF, il est recommandé de spécifier distributedRealmName dans l'attribut de nom primaryRealm de l'élément federatedRepository.
si distributedRealmName n'est pas spécifié à l'aide du nom d'attribut primaryRealm de l'élément federatedRepository, l'élément distributedRealmName que Liberty z/OS utilise risque de ne pas être celui attendu.
S'il n'est pas spécifié à l'aide de primaryRealm, l'élément distributedRealmName pour la vérification RACMAP peut être dérivé d'un certain nombre de sources différentes, selon la façon dont chaque registre d'utilisateurs est configuré dans votre fichier server.xml.
Afin d'éviter toute confusion, spécifiez l'élément distributedRealmName en utilisant l'attribut primaryRealm.