[z/OS]

Autenticación con SAF en IBM HTTP Server (sistemas z/OS)

Puede realizar la autenticación en IBM® HTTP Server en z/OS utilizando la autenticación básica HTTP o los certificados de cliente con el producto de seguridad System Authorization Facility (SAF). Utilice la autenticación SAF para realizar la verificación de los ID de usuario y las contraseñas o los certificados.

Antes de empezar

Las directivas mod_authz_default y mod_auth_basic proporcionan soporte básico de autenticación y autorización, necesario en las configuraciones de mod_authnz_saf. Asimismo, la directiva mod_ibm_ssl proporciona soporte para certificados de cliente SSL. Si utiliza la autenticación SAF, asegúrese de que se activan las tres primeras directivas LoadModule del siguiente ejemplo. Si utiliza certificados de cliente SSL, asegúrese de que también se active la directiva mod_ibm_ssl.so LoadModule.
LoadModule auth_basic_module modules/mod_auth_basic.so
LoadModule authnz_saf_module modules/mod_authnz_saf.so
LoadModule authz_default_module modules/mod_authz_default.so
# Quite el carácter de comentario de mod_ibm_ssl si se necesita algún tipo de soporte SSL,
# como la autenticación de certificado de cliente
#LoadModule ibm_ssl_module modules/mod_ibm_ssl.so
Si el servidor web no carga el módulo mod_authz_default, el servidor devuelve un código de respuesta 500 en lugar de 401 si el usuario no está autorizado.

Acerca de esta tarea

El módulo mod_authnz_saf proporciona la autenticación SAF. El módulo mod_authnz_saf permite la utilización de la autenticación básica HTTP o certificados de cliente para restringir el acceso buscando usuarios, grupos y certificados de cliente SSL en SAF. Este módulo también le permite conmutar la hebra del ID de servidor a otro ID antes de responder a la petición mediante la directiva SAFRunAS. Para obtener más información, consulte el tema del centro de información sobre directivas SAF. Asimismo, consulte el tema sobre la migración y la instalación de IBM HTTP Server en sistemas z/OS para obtener información sobre la migración de directivas SAF.

Procedimiento

  1. Si utiliza SAFRunAs, permita el ID de usuario de IBM HTTP Server para el perfil de la clase BPX.SERVER FACILITY en RACF, y proporcione el id de destino con un segmento OMVS.
  2. Determine la ubicación del directorio al que desea limitar el acceso. Por ejemplo: <Location "/admin-bin">.
  3. Añada directivas en el archivo httpd.conf al directorio o la ubicación para que se proteja con valores específicos del entorno. Si desea restringir el acceso a los archivos bajo el directorio /secure a aquellos usuarios que proporcionen un ID de usuario y una contraseña de SAF válidos, utilice el siguiente ejemplo.
    <Directory  /secure> 	
    		AuthName protectedrealm_title	
    		AuthType Basic   
    		AuthBasicProvider saf   
    		Require valid-user   
    </Directory>
    También puede restringir el acceso basándose en el ID de usuario o la pertenencia al grupo SAF sustituyendo la directiva Require en el ejemplo anterior, del modo siguiente:
    require saf-user USERID
    require saf-group GROUPNAME
  4. Opcional: Especifique Require saf-user o Require saf-group para restringir el acceso a un determinado grupo o usuario SAF.
Tema de tarea    

Términos y condiciones para centros de información | Comentarios

Última actualización: October 10, 2014 03:11 AM EDT
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=phil&product=ihs-dist&topic=tihs_safconfigz
Nombre de archivo: tihs_safconfigz.html