[z/OS]

IBM HTTP Server での SAF による認証 (z/OS システム)

HTTP 基本認証またはクライアント証明書を System Authorization Facility (SAF) セキュリティー製品とともに使用して、 z/OS® で IBM® HTTP Server に対する認証を行うことができます。ユーザー ID およびパスワード、または証明書の 検査に SAF 認証を使用します。

始める前に

mod_authz_default ディレクティブおよび mod_auth_basic ディレクティブにより、 mod_authnz_saf 構成で必要とされる基本的な認証および権限が サポートされます。さらに、mod_ibm_ssl ディレクティブは SSL クライアント証明書をサポートします。SAF 認証を使用する場合、 以下のサンプルの最初の 3 つの LoadModule ディレクティブを確実に アクティブ化します。SSL クライアント証明書を使用する場合、 mod_ibm_ssl.so LoadModule ディレクティブも確実にアクティブ化します。
LoadModule auth_basic_module modules/mod_auth_basic.so
LoadModule authnz_saf_module modules/mod_authnz_saf.so
# mod_authz_core will typically already load by default
LoadModule authz_core_module modules/mod_authz_core.so
# Uncomment mod_ibm_ssl if any type of SSL support is required,
# such as client certificate authentication
#LoadModule ibm_ssl_module modules/mod_ibm_ssl.so

このタスクについて

SAF 認証は mod_authnz_saf モジュールによって提供されます。 mod_authnz_saf モジュールにより、HTTP 基本認証またはクライアント証明書を使用すると、 SAF 内のユーザー、グループ、および SSL クライアント証明書の検索によるアクセスを 制限することができます。このモジュールを使用して、SAFRunAS ディレクティブを使用して要求に応答する前に、スレッドをサーバー ID から別の ID に切り替えます。詳しくは、本製品資料の『SAF ディレクティブ』を参照してください。また、SAF ディレクティブのマイグレーションについては、『 z/OS システムへの IBM HTTP Server のマイグレーションとインストール』を参照してください。

手順

  1. SAFRunAs を使用する場合、IBM HTTP Server ユーザー ID を RACF® 内の BPX.SERVER FACILITY クラス・プロファイルに対して許可し、ターゲット・ユーザー ID に OMVS セグメントを設定します。
  2. APPL クラスがセキュリティー製品 (SAF) 内でアクティブな場合、このモジュールを介して認証するユーザーは、OMVSAPPL アプリケーション ID へのアクセスを許可されている必要があります。
  3. アクセスを制限するディレクトリー・ロケーションを決定します。例えば、 <Location "/admin-bin"> とします。
  4. httpd.conf ファイル内のディレクティブを ディレクトリーまたはロケーションに追加して、ご使用の環境固有の値で 保護します。 /secure ディレクトリー配下の ファイルに対するアクセスを、有効な SAF ユーザー ID およびパスワードを入力するユーザーのみに 制限する場合、この例を検討します。
    <Directory  /secure> 	
    				AuthName protectedrealm_title	
    		AuthType Basic
    		AuthBasicProvider saf
    		Require valid-user
    </Directory>
    また、ユーザー ID または SAF グループのメンバーである ことを基にアクセスを制限できます。これには、以下のように、先の例の Require ディレクティブを 置き換えます。
    require saf-user USERID
    require saf-group GROUPNAME
  5. オプション: Require saf-user または Require saf-group を指定して、特定の SAF ユーザーまたはグループにアクセスを制限します。

トピックのタイプを示すアイコン タスク・トピック



タイム・スタンプ・アイコン 最終更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=ihs-dist&topic=tihs_safconfigz
ファイル名:tihs_safconfigz.html