[z/OS]

Authentification avec SAF sur IBM HTTP Server (systèmes z/OS)

Vous pouvez vous authentifier auprès du serveur IBM® HTTP Server on z/OS en utilisant l'authentification HTTP de base ou des certificats client avec le produit de sécurité SAF (System Authorization Facility). Utilisez l'authentification SAF pour la vérification des ID et mots de passe utilisateur ou des certificats.

Avant de commencer

Les directives mod_authz_default et mod_auth_basic assurent la prise en charge de l'authentification et de l'autorisation de base, nécessaire dans les configurations mod_authnz_saf. De surcroît, la directive mod_ibm_ssl prend en charge les certificats client SSL. Si vous utilisez l'authentification SAF, assurez-vous que les trois premières directives LoadModule de l'exemple suivant sont activées. Si vous utilisez des certificats client SSL, assurez-vous que la directive mod_ibm_ssl.so LoadModule est également activée.
LoadModule auth_basic_module modules/mod_auth_basic.so
LoadModule authnz_saf_module modules/mod_authnz_saf.so
# mod_authz_core will typically already load by default
LoadModule authz_core_module modules/mod_authz_core.so
# Retirez le commentaire mod_ibm_ssl si un type de support SSL est requis,
# tel que l'authentification par certificat client
#LoadModule ibm_ssl_module modules/mod_ibm_ssl.so

Pourquoi et quand exécuter cette tâche

L'authentification SAF est fournie par le module mod_authnz_saf. Le module mod_authnz_saf permet d'utiliser l'authentification HTTP de base ou de certificats client pour limiter l'accès en recherchant des utilisateurs, des groupes et des certificats client SSL dans SAF. Utilisez cet module pour transférer l'unité d'exécution d'un ID serveur à un autre avant de répondre à la demande en utilisant la directive SAFRunAS. Pour plus d'informations, voir la directive SAF dans la documentation du produit. Voir également Migration et installation de systèmes IBM HTTP Server on z/OS pour plus d'informations sur la migration de vos directives SAF.

Procédure

  1. Si vous utilisez SAFRunAs, affectez l'ID utilisateur IBM HTTP Server au profil de classe BPX.SERVER FACILITY dans RACF et fournissez l'ID utilisateur cible avec un segment OMVS.
  2. Si la classe APPL est active dans le produit de sécurité (SAF), les utilisateurs qui s'authentifient via ce module doivent être autorisés à utiliser l'ID application OMVSAPPL.
  3. Déterminez l'emplacement de répertoire pour lequel vous voulez limiter l'accès. Par exemple : <Location "/admin-bin">.
  4. Ajoutez des directives du fichier httpd.conf au répertoire ou à l'emplacement pour qu'il soit protégé avec des valeurs spécifiques à votre environnement. Si vous souhaitez restreindre l'accès aux fichiers sous le répertoire /secure aux seuls utilisateurs qui fournissent un ID utilisateur et un mot de passe SAF valides, examinez l'exemple suivant.
    <Directory  /secure> 	
    		AuthName titre_domaine_protégé	
    		AuthType Basic   
    		AuthBasicProvider saf   
    		Require valid-user   
    </Directory>
    Vous pouvez également restreindre l'accès en fonction de l'ID utilisateur ou de l'appartenance à un groupe SAF en remplaçant la directive Require de l'exemple précédent, de la façon suivante :
    require saf-user USERID
    require saf-group NOMGROUPE
  5. Facultatif : Indiquez Require saf-user ou Require saf-group pour restreindre l'accès à un utilisateur ou à un groupe SAF spécifique.

Icône indiquant le type de rubrique Rubrique de tâche



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=ihs-dist&topic=tihs_safconfigz
Nom du fichier : tihs_safconfigz.html