É possível autenticar-se no IBM® HTTP Server no z/OS usando a autenticação básica HTTP ou certificados de cliente
com o produto de segurança System Authorization Facility (SAF). Utilize a autenticação do SAF para verificação dos IDs
de usuários e senhas ou certificados.
Antes de Iniciar
As diretivas
mod_authz_default e
mod_auth_basic
fornecem suporte de autenticação e autorização básicas, que é necessário em configurações de
mod_authnz_saf. Além disso, a diretiva
mod_ibm_ssl suporta certificados de cliente SSL. Se você usar a autenticação SAF,
certifique-se de que as três primeiras diretivas
LoadModule do seguinte
exemplo estejam ativadas. Se você usar certificados de cliente SSL, certifique-se de que a diretiva
mod_ibm_ssl.so LoadModule também esteja ativada.
LoadModule auth_basic_module modules/mod_auth_basic.so
LoadModule authnz_saf_module modules/mod_authnz_saf.so
# Normalmente mod_authz_core já é carregado por padrão
LoadModule authz_core_module modules/mod_authz_core.so
# Uncomment mod_ibm_ssl if any type of SSL support is required,
# such as client certificate authentication
#LoadModule ibm_ssl_module modules/mod_ibm_ssl.so
Sobre Esta Tarefa
A autenticação SAF é fornecida pelo módulo mod_authnz_saf. O módulo
mod_authnz_saf permite o uso de autenticação básica HTTP ou de
certificados de cliente para restringir o acesso, consultando usuários, grupos e certificados de cliente SSL no SAF. Use
esse módulo para alternar o encadeamento do ID do servidor para outro ID antes de responder à solicitação
usando a diretiva SAFRunAS. Para obter informações adicionais, consulte Diretivas
SAF na documentação do produto. Consulte também Migrando e instalando o IBM HTTP Server em sistemas z/OS para obter informações sobre como migrar suas diretivas SAF.
Procedimento
- Se estiver usando SAFRunAs, permita o ID do usuário do IBM HTTP Server
no perfil de classe BPX.SERVER FACILITY no RACF e forneça
o ID do usuário de destino com um segmento OMVS.
- Se a classe APPL está ativa no produto de
segurança (SAF), usuários que autenticam via este módulo deve ter
permissão para o ID do aplicativo OMVSAPPL.
- Determine o local do diretório ao qual você deseja limitar o acesso. Por exemplo: <Location "/admin-bin">.
- Inclua diretivas no arquivo httpd.conf
no diretório ou local a ser protegido com valores específicos
para seu ambiente. Se desejar restringir o acesso aos
arquivos no diretório /secure apenas aos usuários
que fornecem um ID do usuário e uma senha SAF válidos, considere este exemplo.
<Directory /secure>
AuthName protectedrealm_title
AuthType Basic
AuthBasicProvider saf
Require valid-user
</Directory>
Também é possível restringir o acesso com base
no ID do usuário ou na associação ao grupo do SAF substituindo a diretiva
Require
no exemplo anterior, conforme a seguir:
require saf-user USERID
require saf-group GROUPNAME
- Opcional: Especifique Require saf-user ou Require
saf-group para acesso restrito a um usuário ou grupo SAF específico.