É possível autenticar-se no IBM® HTTP
Server no z/OS usando a autenticação básica HTTP ou certificados
de cliente com o produto de segurança System Authorization Facility
(SAF). Utilize a autenticação do SAF para verificação dos IDs
de usuários e senhas ou certificados.
Antes de Iniciar
As diretivas mod_authz_default e mod_auth_basic fornecem
suporte de autenticação básica e autorização que é necessário nas
configurações de mod_authnz_saf. Além disso, a diretiva mod_ibm_ssl
fornece suporte para certificados de cliente SSL. Se você usar a autenticação SAF,
assegure que as primeiras três diretivas LoadModule do exemplo
a seguir estejam ativadas. Se você usar certificados de cliente SSL, assegure
que a diretiva mod_ibm_ssl.so LoadModule esteja ativada também.
LoadModule auth_basic_module modules/mod_auth_basic.so
LoadModule authnz_saf_module modules/mod_authnz_saf.so
LoadModule authz_default_module modules/mod_authz_default.so
# Uncomment mod_ibm_ssl if any type of SSL support is required,
# such as client certificate authentication
#LoadModule ibm_ssl_module modules/mod_ibm_ssl.so
Se o módulo mod_authz_default não for carregado por seu
servidor da Web, o servidor retornará um código de resposta 500 em vez de 401
se o usuário não estiver autorizado.
Sobre Esta Tarefa
A autenticação de SAF é fornecida pelo módulo mod_authnz_saf.
O módulo mod_authnz_saf permite o uso da autenticação básica HTTP
ou de certificados de cliente para restringir o acesso consultando usuários, grupos
e certificados de cliente SSL no SAF. Este módulo também permite
alternar o encadeamento do ID do servidor para um outro ID antes de responder
à solicitação usando a diretiva SAFRunAS. Para obter informações adicionais,
consulte o tópico do centro de informações sobre diretivas SAF. Além disso, consulte o
tópico sobre como migrar e instalar o IBM HTTP
Server nos sistemas z/OS para obter informações sobre como migrar
suas diretivas SAF.
Procedimento
- Se estiver usando SAFRunAs, permita o ID do usuário do IBM HTTP Server
no perfil de classe BPX.SERVER FACILITY no RACF e forneça ao
ID do usuário de destino um segmento de OMVS.
- Determine o local do diretório para o qual deseja limitar acesso. Por exemplo: <Location "/admin-bin">.
- Inclua diretivas no arquivo httpd.conf
no diretório ou local a ser protegido com valores específicos
para seu ambiente. Se desejar restringir o acesso aos
arquivos no diretório /secure apenas aos usuários
que fornecem um ID do usuário e uma senha SAF válidos, considere este exemplo.
<Directory /secure>
AuthName protectedrealm_title
AuthType Basic
AuthBasicProvider saf
Require valid-user
</Directory>
Também é possível restringir o acesso com base
no ID do usuário ou na associação ao grupo do SAF substituindo a diretiva
Require
no exemplo anterior, conforme a seguir:
require saf-user USERID
require saf-group GROUPNAME
- Opcional: Especifique Require saf-user ou Require
saf-group para acesso restrito a um usuário ou grupo SAF específico.