[z/OS]

Authentifizierung mit SAF bei IBM HTTP Server (z/OS-Systeme)

Sie können sich bei IBM® HTTP Server unter z/OS unter Verwendung der HTTP-Basisauthentifizierung bzw. unter Verwendung von Clientzertifikaten mit SAF authentifizieren. Verwenden Sie die SAF-Authentifizierung für die Überprüfung von Benutzer-IDs und Kennwörtern oder Zertifikaten.

Vorbereitende Schritte

Die Anweisungen mod_authz_default und mod_auth_basic unterstützen die Basisauthentifizierung und die Basisberechtigung, die in mod_authnz_saf-Konfigurationen erforderlich sind. Außerdem unterstützt die Anweisung mod_ibm_ssl SSL-Clientzertifikate. Wenn Sie die SAF-Authentifizierung verwenden, müssen Sie sicherstellen, dass die ersten drei Anweisungen des Typs "LoadModule" aus dem folgenden Beispiel aktiviert sind. Wenn Sie SSL-Clientzertifikate verwenden, müssen Sie sicherstellen, dass auch die mod_ibm_ssl.so-Anweisung LoadModule aktiviert ist.
LoadModule auth_basic_module modules/mod_auth_basic.so
LoadModule authnz_saf_module modules/mod_authnz_saf.so
# mod_authz_core wird in der Regel standardmäßig geladen
LoadModule authz_core_module modules/mod_authz_core.so
# Entfernen Sie die Kommentarzeichen für mod_ibm_ssl, wenn SSL-Unterstützung erforderlich ist,
# z. B. Clientzertifikatsauthentifizierung
#LoadModule ibm_ssl_module modules/mod_ibm_ssl.so

Informationen zu diesem Vorgang

Die SAF-Authentifizierung wird vom Modul mod_authnz_saf unterstützt. Mit dem Modul mod_authnz_saf können Sie die HTTP-Basisauthentifizierung oder Clientzertifikate verwenden, um den Zugriff durch Suchen von Benutzern, Gruppen und SSL-Clientzertifikaten in SAF zu beschränken. Verwenden Sie dieses Modul, um den Thread über die Anweisung SAFRunAS von der Server-ID auf eine andere ID umzustellen, bevor die Anforderung beantwortet wird. Weitere Informationen finden Sie in der Produktdokumentation im Abschnitt SAF-Anweisungen. Informationen zum Migrieren Ihrer SAF-Anweisungen finden Sie im Abschnitt IBM HTTP Server auf z/OS-Systemen migrieren und installieren.

Vorgehensweise

  1. Wenn Sie SAFRunAs verwenden, berechtigen Sie die Benutzer-ID von IBM HTTP Server für das Klassenprofil BPX.SERVER FACILITY in RACF und stellen Sie die Ziel-Benutzer-ID mit einem OMVS-Segment bereit.
  2. Wenn die Klasse APPL im Sicherheitsprodukt (SAF) aktiv ist, müssen Benutzer, die über dieses Modul authentifiziert wurden, Berechtigungen für die Anwendungs-ID OMVSAPPL haben.
  3. Geben Sie die Verzeichnisposition an, für die der Zugriff eingeschränkt werden soll. Beispiel: <Location "/admin-bin">.
  4. Fügen Sie der Datei httpd.conf Anweisungen für das Verzeichnis bzw. die Position, das bzw. die geschützt werden soll, mit Werten hinzu, die für Ihre Umgebung spezifisch sind. Wenn Sie den Zugriff auf Dateien im Verzeichnis /secure auf die Benutzer beschränken möchten, die eine gültige SAF-Benutzer-ID und ein gültiges Kennwort angeben, sehen Sie sich das folgende Beispiel an.
    <Directory  /secure> 	
    				AuthName protectedrealm_title	
    		AuthType Basic
    		AuthBasicProvider saf 
    		Require valid-user
    </Directory>
    Sie können den Zugriff auch auf der Basis von Benutzer-IDs oder SAF-Gruppenzugehörigkeiten beschränken, indem Sie die Anweisung Require im vorherigen Beispiel wie folgt ersetzen:
    require saf-user BENUTZER-ID
    require saf-group GRUPPENNAME
  5. Optional: Geben Sie "Require saf-user" oder "Require saf-group" an, um den Zugriff auf einen bestimmten SAF-Benutzer oder eine bestimmte SAF-Gruppe zu beschränken.

Symbol, das den Typ des Artikels anzeigt. Taskartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=ihs-dist&topic=tihs_safconfigz
Dateiname:tihs_safconfigz.html