[z/OS]

在 IBM HTTP Server 上使用 SAF 进行认证(z/OS 系统)

可以通过将 HTTP 基本认证或客户机证书与系统授权工具 (SAF) 安全性产品配合使用,向 IBM® HTTP Server on z/OS® 进行认证。可以使用 SAF 认证来验证用户标识和密码或证书。

开始之前

mod_authz_defaultmod_auth_basic 伪指令提供了 mod_authnz_saf 配置中需要的基本认证和授权支持。此外,mod_ibm_ssl 伪指令支持 SSL 客户机证书。如果您使用 SAF 认证,请确保激活以下示例中的前三个 LoadModule 伪指令。如果您使用 SSL 客户机证书,请确保还激活了 mod_ibm_ssl.so LoadModule 伪指令。
LoadModule auth_basic_module modules/mod_auth_basic.so
LoadModule authnz_saf_module modules/mod_authnz_saf.so
# mod_authz_core will typically already load by default
LoadModule authz_core_module modules/mod_authz_core.so
# Uncomment mod_ibm_ssl if any type of SSL support is required, 
# such as client certificate authentication
#LoadModule ibm_ssl_module modules/mod_ibm_ssl.so

关于此任务

SAF 认证由 mod_authnz_saf 模块提供。mod_authnz_saf 模块通过在 SAF 中查找用户、组和 SSL 客户机证书,允许使用 HTTP 基本认证或客户机证书来限制访问。在对请求作出响应之前,使用此模块并通过使用 SAFRunAS 伪指令将线程从一个服务器标识切换到另一个标识。有关更多信息,请参阅产品文档中的“SAF 伪指令”。另请参阅“在 z/OS 系统上迁移和安装 IBM HTTP Server,以了解有关迁移 SAF 伪指令的信息。

过程

  1. 如果您正在使用 SAFRunAs,请允许 IBM HTTP Server 用户标识使用 RACF® 中的 BPX.SERVER FACILITY 类概要文件,并提供具有 OMVS 段的目标用户标识。
  2. 如果 APPL 类在安全性产品 (SAF) 中处于活动状态,那么必须允许通过此模块进行认证的用户使用 OMVSAPPL 应用程序标识。
  3. 确定您想要限制访问的目录位置。例如:<Location "/admin-bin">
  4. httpd.conf 文件中针对要使用特定于环境的值来保护的目录或位置添加伪指令。 如果要限制只有提供有效 SAF 用户标识和密码的用户才能访问 /secure 目录下的文件,请考虑以下示例。
    <Directory  /secure> 	
    		AuthName protectedrealm_title	
    		AuthType Basic   
    		AuthBasicProvider saf   
    		Require valid-user   
    </Directory>
    您也可以通过替换上一示例中的 Require 伪指令来根据用户标识或 SAF 组成员资格限制访问权,如下所示:
    require saf-user USERID
    require saf-group GROUPNAME
  5. 可选: 指定 Require saf-user 或 Require saf-group 以限制只有特定 SAF 用户或组能够进行访问。

指示主题类型的图标 任务主题



时间戳记图标 最近一次更新时间: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=ihs-dist&topic=tihs_safconfigz
文件名:tihs_safconfigz.html