Puede realizar la autenticación en IBM® HTTP Server en
z/OS utilizando la autenticación básica HTTP o los certificados de cliente con el
producto de seguridad System Authorization Facility (SAF). Utilice la autenticación SAF para realizar la verificación
de los ID de usuario y las contraseñas o los certificados.
Antes de empezar
Las directivas
mod_authz_default y
mod_auth_basic proporcionan
soporte básico de autenticación y autorización, necesario en las configuraciones de
mod_authnz_saf. Además,
la directiva
mod_ibm_ssl proporciona soporte para certificados de cliente SSL. Si utiliza la
autenticación SAF, asegúrese de que se activan las tres primeras
directivas
LoadModule del siguiente
ejemplo. Si utiliza certificados de cliente SSL, asegúrese de que la
directiva
mod_ibm_ssl.so LoadModule
también está activada.
LoadModule auth_basic_module modules/mod_auth_basic.so
LoadModule authnz_saf_module modules/mod_authnz_saf.so
# mod_authz_core normalmente ya se cargará de forma predeterminada
LoadModule authz_core_module modules/mod_authz_core.so
# Quite el carácter de comentario de mod_ibm_ssl si se necesita algún tipo de soporte SSL,
# como la autenticación de certificado de cliente
#LoadModule ibm_ssl_module modules/mod_ibm_ssl.so
Acerca de esta tarea
El módulo mod_authnz_saf proporciona la autenticación SAF. El módulo mod_authnz_saf permite la utilización de la autenticación básica HTTP o certificados de cliente para restringir el acceso buscando usuarios, grupos y certificados de cliente SSL en SAF. Utilice
este módulo para conmutar la hebra del ID de servidor a otro ID antes de responder a la solicitud mediante la directiva SAFRunAS. Para
obtener más información, consulte directivas SAF en la
documentación del producto. Además, consulte Migración e instalación de IBM HTTP Server en sistemas z/OS para
obtener información sobre cómo migrar las directivas SAF.
Procedimiento
- Si utiliza SAFRunAs, permita el ID de usuario de
IBM HTTP Server para el perfil
de clase BPX.SERVER FACILITY en RACF y proporcione el ID de
usuario de destino con un segmento OMVS.
- Si la clase APPL está activa en el producto de seguridad (SAF), los
usuarios que se autentican mediante este módulo deben estar autorizados para el ID de aplicación OMVSAPPL.
- Determine la ubicación del directorio al que desea limitar el acceso.
Por ejemplo: <Location "/admin-bin">.
- Añada directivas en el archivo httpd.conf
al directorio o la
ubicación para que se proteja con valores
específicos del entorno. Si desea restringir el acceso a los archivos bajo el
directorio /secure a aquellos usuarios que proporcionen
un ID de usuario y una contraseña de SAF válidos, utilice el siguiente
ejemplo.
<Directory /secure>
AuthName protectedrealm_title
AuthType Basic
AuthBasicProvider saf
Require valid-user
</Directory>
También puede restringir el acceso
basándose en el ID de usuario o la pertenencia al grupo SAF sustituyendo
la directiva
Require en el ejemplo anterior, del modo siguiente:
require saf-user USERID
require saf-group GROUPNAME
- Opcional: Especifique Require saf-user o Require
saf-group para restringir el acceso a un determinado grupo o usuario
SAF.