このタスクを使用して、カスタム System Authorization Facility (SAF) マッピング・モジュールをシステム・
ログイン・モジュールの 1 つに管理コンソールを使用して追加します。
始める前に
プラグ可能なログイン・モジュールを使用して、
Java 2 Platform, Enterprise Edition (J2EE) ID の Resource Access Control Facility (RACF) ユーザーへのマッピングを実行するためには、
プラグ可能なマッピング・モジュール、およびその後に WebSphere Application Server for zOS 提供のモジュールを、
該当する Java Authentication and Authorization Service (JAAS) システムのログイン構成で構成する必要があります。「SAF Authorization」または「Synch to OS Thread」が構成されている場合、この方法により、
アクティブな WebSphere Application Server レジストリーをスタンドアロンの Lightweight Directory Access Protocol (LDAP) またはスタンドアロンのカスタム・レジストリーとして構成するためのインストールが使用可能になります。
先に進む前に、マッピング・モジュールを作成して、
SAF ID を取得する方法について熟知しておいてください。詳しくは、ローカルでないオペレーティング・システムによるカスタム System Authorization Facility マッピング・モジュールの書き込み
を参照してください。サンプル以外のものを使用する場合は、セル内のデプロイメント・マネージャー・ノードなど、セル内のそれぞれのノードごとに、関連するクラスを作成し、
それを <WAS_HOME>/classes ディレクトリーにインストールします。Java 2 セキュリティーが使用可能になっている場合は、server.policy ファイルが、
適切な許可を与えるように更新されていることを確認してください。
このタスクについて
カスタム SAF マッピング・モジュール (com.ibm.websphere.security.SampleSAFMappingModule、
またはお客様が作成したマッピング・モジュール) は、以下のそれぞれのシステム・ログイン・モジュール・エントリーに追加し、
以下に示すシステム・ログイン・モジュールでの順序を、2 番目の位置から最後の位置に手動で変更する必要があります。
注: 基本構成で、認証メカニズムに SWAM を選択した場合は、
SWAM エントリーを更新します。ただし、LTPA を認証メカニズムとして使用する予定なら、
4 つのシステム・ログイン・モジュール・エントリーをすべてセットアップします。
Network Deployment の場合は、LTPA 認証メカニズム構成エントリーを構成すればよいだけです。
プロシージャー
- 「セキュリティー」>「グローバル・セキュリティー」をクリックします。
- 「認証」の下の、「JAAS 構成」>「システム・ログイン」>「login_module_name」をクリックします。
- 「追加プロパティー」の下の、「JAAS ログイン・モジュール」>「新規」をクリックします。
- Module Classname ファイルで、カスタム・ログイン・モジュールのクラス名を入力します。
(同梱のサンプル・モジュールには、com.ibm.websphere.security.SampleSAFMappingModule を使用してください)。
- 「適用」をクリックして、新規モジュールをログイン・モジュール・リストに追加します。
- 「セキュリティー」>「グローバル・セキュリティー」をクリックします。
- 「認証」の下の、「JAAS 構成」>「システム・ログイン」>「login_module_name」をクリックします。
- 「追加プロパティー」の下の、「JAAS ログイン・モジュール」>「順序の設定」をクリックします。
新規マッピング・モジュールは、おそらくリストの最後にあるので、
それを com.ibm.ws.security.common.auth.module.MapPlatformSubject の前、および、com.ibm.ws.security.server.lm.wsMapDefaultInboundLoginModule の後に来るようにしてください。
- 新規マッピング・モジュールの横のボックスを選択してから、
「上へ移動」をクリックします。マッピング・モジュールが正しい順序になったら、
「適用」をクリックし、次に「保管」をクリックし、
さらに「保管」をクリックします (Network Deployment セルを処理する場合は、
必ず「変更をノードと同期する」を選択してください)。
次の作業
WebSphere Application Server for z/OS の構成に必要なシステム・ログイン・モジュールのそれぞれに対して、
上記の変更を行ってください。
どのシステム・ログイン・モジュールが必要かという選択は、
お客様の認証メカニズム (SWAM または LTPA) によって決まります。
注: インストールされている SAF ID マッピング・モジュールに構成可能なプロパティーがある場合は、
管理コンソールの JAAS システム・ログイン・パネルでカスタム・プロパティーを作成することにより、
そのプロパティーを更新できます。
SampleSAFMapping モジュールをプロトタイプとして使用し、
カスタム・マッピング・ロジックを提供するように else 節を更新した場合は、
この例を使用してプロパティーを更新します。
この場合は、useWSPrincipleName カスタム・プロパティーを作成して、
変更した SampleSAFMappingModule を使用し、影響を受ける個々の JAAS ログイン構成で、
そのプロパティーを false に設定する必要があります。
- 「セキュリティー」>「グローバル・セキュリティー」をクリックします。
- 「認証」の下の、「JAAS 構成」>「システム・ログイン」>「login_module_name」をクリックします。
- 「追加プロパティー」の下の、「JAAS ログイン・モジュール」>「com.ibm.websphere.security.SampleSAFMappingModule」をクリックします。
- 「追加プロパティー」の下で、「カスタム・プロパティー」>「新規」とクリックします。
- カスタム・プロパティー名 useWSPrincipalName と、値 false を入力します。
- 「適用」、「保管」、もう一度「保管」をクリックします。
変更した SampleSAFMappingModule を使用するシステム・ログイン・モジュールのそれぞれに対して、
このプロセスを繰り返します。