[z/OS]

Autenticación con SAF en IBM HTTP Server (sistemas z/OS)

Puede realizar la autenticación en IBM® HTTP Server en z/OS utilizando la autenticación básica HTTP o los certificados de cliente con el producto de seguridad System Authorization Facility (SAF). Utilice la autenticación SAF para realizar la verificación de los ID de usuario y las contraseñas o los certificados.

Antes de empezar

Las directivas mod_authz_default y mod_auth_basic proporcionan soporte básico de autenticación y autorización, necesario en las configuraciones de mod_authnz_saf. Además, la directiva mod_ibm_ssl proporciona soporte para certificados de cliente SSL. Si utiliza la autenticación SAF, asegúrese de que se activan las tres primeras directivas LoadModule del siguiente ejemplo. Si utiliza certificados de cliente SSL, asegúrese de que la directiva mod_ibm_ssl.so LoadModule también está activada.
LoadModule auth_basic_module modules/mod_auth_basic.so
LoadModule authnz_saf_module modules/mod_authnz_saf.so
# mod_authz_core normalmente ya se cargará de forma predeterminada
LoadModule authz_core_module modules/mod_authz_core.so
# Quite el carácter de comentario de mod_ibm_ssl si se necesita algún tipo de soporte SSL,
# como la autenticación de certificado de cliente
#LoadModule ibm_ssl_module modules/mod_ibm_ssl.so

Acerca de esta tarea

El módulo mod_authnz_saf proporciona la autenticación SAF. El módulo mod_authnz_saf permite la utilización de la autenticación básica HTTP o certificados de cliente para restringir el acceso buscando usuarios, grupos y certificados de cliente SSL en SAF. Utilice este módulo para conmutar la hebra del ID de servidor a otro ID antes de responder a la solicitud mediante la directiva SAFRunAS. Para obtener más información, consulte directivas SAF en la documentación del producto. Además, consulte Migración e instalación de IBM HTTP Server en sistemas z/OS para obtener información sobre cómo migrar las directivas SAF.

Procedimiento

  1. Si utiliza SAFRunAs, permita el ID de usuario de IBM HTTP Server para el perfil de clase BPX.SERVER FACILITY en RACF y proporcione el ID de usuario de destino con un segmento OMVS.
  2. Si la clase APPL está activa en el producto de seguridad (SAF), los usuarios que se autentican mediante este módulo deben estar autorizados para el ID de aplicación OMVSAPPL.
  3. Determine la ubicación del directorio al que desea limitar el acceso. Por ejemplo: <Location "/admin-bin">.
  4. Añada directivas en el archivo httpd.conf al directorio o la ubicación para que se proteja con valores específicos del entorno. Si desea restringir el acceso a los archivos bajo el directorio /secure a aquellos usuarios que proporcionen un ID de usuario y una contraseña de SAF válidos, utilice el siguiente ejemplo.
    <Directory  /secure> 	
    				AuthName protectedrealm_title	
    		AuthType Basic
    		AuthBasicProvider saf 
    		Require valid-user
    </Directory>
    También puede restringir el acceso basándose en el ID de usuario o la pertenencia al grupo SAF sustituyendo la directiva Require en el ejemplo anterior, del modo siguiente:
    require saf-user USERID
    require saf-group GROUPNAME
  5. Opcional: Especifique Require saf-user o Require saf-group para restringir el acceso a un determinado grupo o usuario SAF.

Icon that indicates the type of topic Task topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=ihs-dist&topic=tihs_safconfigz
File name: tihs_safconfigz.html