SAF(System Authorization Facility) 보안 제품에 HTTP 기본 인증 또는 클라이언트 인증서를
사용하여 z/OS®에서
IBM® HTTP
Server에 인증할 수 있습니다. 사용자 ID와 비밀번호 또는 인증서를 확인하는 데
SAF 인증을 사용하십시오.
시작하기 전에
mod_authz_default 및 mod_auth_basic 지시문은
mod_authnz_saf 구성에서 필요한 기본 인증 및 권한 부여 지원을 제공합니다. 또한 mod_ibm_ssl 지시문은
SSL 클라이언트 인증서 지원을 제공합니다. SAF 인증을 사용하는 경우, 다음 예제의 처음 세 LoadModule 지시문이
활성화되어 있는지 확인하십시오. SSL 클라이언트 인증서를 사용하는 경우, mod_ibm_ssl.so LoadModule 지시문도
활성화되어 있는지 확인하십시오.
LoadModule auth_basic_module modules/mod_auth_basic.so
LoadModule authnz_saf_module modules/mod_authnz_saf.so
LoadModule authz_default_module modules/mod_authz_default.so
# Uncomment mod_ibm_ssl if any type of SSL support is required,
# such as client certificate authentication
#LoadModule ibm_ssl_module modules/mod_ibm_ssl.so
웹 서버가 mod_authz_default 모듈을 로드하지 않으면, 사용자에게 권한이 부여되지 않은 경우 서버가
응답 코드 401 대신 500을 리턴합니다.
이 태스크 정보
mod_authnz_saf 모듈이 SAF 인증을 제공합니다.
mod_authnz_saf 모듈을 통해 HTTP 기본 인증 또는 클라이언트 인증서를
사용하여 SAF에 정의된 사용자, 그룹, SSL 클라이언트 인증서를 검색함으로써 액세스를 제한할 수 있습니다. 이 모듈을 사용하면
SAFRunAS 지시문을 사용하여 요청에
응답하기 전에 서버 ID에서 다른 ID로 스레드를
전환할 수 있습니다. 추가 정보는 SAF 지시문에 대한 Information Center 주제를 참조하십시오. 또한 SAF 지시문 마이그레이션에 대한 정보는
z/OS 시스템에서
IBM HTTP
Server 마이그레이션 및 설치에 대한 주제를 참조하십시오.
프로시저
- SAFRunAs를 사용하는 경우, IBM HTTP Server 사용자 ID에
RACF의 BPX.SERVER FACILITY 클래스 프로파일에 대한 액세스를 허용하고 대상 사용자 ID에 OMVS 세그먼트를 제공하십시오.
- 액세스를 제한할 디렉토리 위치를 판별하십시오(예: <Location "/admin-bin">).
- 사용자의 환경에 특정한 값으로 보호될 디렉토리나 위치에
httpd.conf 파일의 지시문을 추가하십시오. /secure 디렉토리의 파일에 대한 액세스를
올바른 SAF 사용자 ID와 비밀번호를 제공하는 사용자로만 제한하려면 다음 예제를 고려하십시오.
<Directory /secure>
AuthName protectedrealm_title
AuthType Basic
AuthBasicProvider saf
Require valid-user
</Directory>
또한 이전 예제의
Require 지시문을 다음과 같이
바꿔 사용자 ID 또는 SAF 그룹 멤버십을 기반으로 액세스를 제한할 수 있습니다.
require saf-user USERID
require saf-group GROUPNAME
- 옵션: 특정 SAF 사용자 또는 그룹으로 액세스를 제한하려면 Require saf-user 또는 Require
saf-group을 지정하십시오.