Vous pouvez vous authentifier auprès du serveur IBM® HTTP Server on z/OS en utilisant l'authentification HTTP de base ou des certificats client
avec le produit de sécurité SAF (System Authorization Facility). Utilisez l'authentification SAF pour la vérification des ID et mots de passe utilisateur ou des certificats.
Avant de commencer
Les directives
mod_authz_default et
mod_auth_basic
assurent la prise en charge de l'authentification et de l'autorisation de base,
nécessaire dans les configurations
mod_authnz_saf.
De surcroît, la directive
mod_ibm_ssl prend en charge les certificats client SSL.
Si vous utilisez l'authentification SAF, assurez-vous que les trois premières directives
LoadModule
de l'exemple suivant sont activées. Si vous utilisez des certificats client SSL,
assurez-vous que la directive
mod_ibm_ssl.so LoadModule est également activée.
LoadModule auth_basic_module modules/mod_auth_basic.so
LoadModule authnz_saf_module modules/mod_authnz_saf.so
# mod_authz_core will typically already load by default
LoadModule authz_core_module modules/mod_authz_core.so
# Retirez le commentaire mod_ibm_ssl si un type de support SSL est requis,
# tel que l'authentification par certificat client
#LoadModule ibm_ssl_module modules/mod_ibm_ssl.so
Pourquoi et quand exécuter cette tâche
L'authentification SAF est fournie par le module mod_authnz_saf.
Le module mod_authnz_saf permet d'utiliser l'authentification HTTP de base
ou de certificats client pour limiter l'accès en recherchant des utilisateurs, des groupes et des certificats client SSL dans SAF.
Utilisez cet module pour transférer l'unité d'exécution d'un ID serveur à un autre
avant de répondre à la demande en utilisant la directive SAFRunAS.
Pour plus d'informations, voir la directive SAF dans la documentation du produit.
Voir également Migration et installation de systèmes IBM HTTP Server on z/OS
pour plus d'informations sur la migration de vos directives SAF.
Procédure
- Si vous utilisez SAFRunAs, affectez l'ID utilisateur IBM HTTP Server
au profil de classe BPX.SERVER FACILITY dans RACF et fournissez l'ID utilisateur cible avec un segment OMVS.
- Si la classe APPL est active dans le produit de sécurité (SAF), les utilisateurs qui s'authentifient via ce module doivent être autorisés à utiliser l'ID application OMVSAPPL.
- Déterminez l'emplacement de répertoire pour lequel vous voulez limiter l'accès. Par exemple : <Location "/admin-bin">.
- Ajoutez des directives du fichier httpd.conf au répertoire ou à l'emplacement pour qu'il soit protégé avec des valeurs spécifiques à votre environnement. Si vous souhaitez restreindre l'accès aux fichiers sous le répertoire /secure aux seuls utilisateurs qui fournissent un ID utilisateur et un mot de passe SAF valides, examinez l'exemple suivant.
<Directory /secure>
AuthName titre_domaine_protégé
AuthType Basic
AuthBasicProvider saf
Require valid-user
</Directory>
Vous pouvez également restreindre l'accès en fonction de l'ID utilisateur ou de l'appartenance à un groupe SAF en remplaçant la directive
Require de l'exemple précédent, de la façon suivante :
require saf-user USERID
require saf-group NOMGROUPE
- Facultatif : Indiquez Require saf-user ou Require saf-group pour restreindre l'accès à un utilisateur ou à un groupe SAF spécifique.