[z/OS]

向 IBM HTTP Server(z/OS 系統)上的 SAF 鑑別

您可以使用 HTTP 基本鑑別 (BA) 或用戶端憑證,搭配「系統授權機能 (SAF)」安全產品,來向 z/OS® 上的 IBM® HTTP Server 鑑別。請使用 SAF 鑑別來驗證使用者 ID 和密碼或憑證。

開始之前

mod_authz_defaultmod_auth_basic 指引提供 mod_authnz_saf 配置中所需的基本鑑別 (BA) 和授權支援。此外,mod_ibm_ssl 指引還支援 SSL 用戶端憑證。如果您使用 SAF 鑑別,請確定已啟動下列範例中的前三個 LoadModule 指引。如果您使用 SSL 用戶端憑證,請確定也啟動了 mod_ibm_ssl.so LoadModule 指引。
LoadModule auth_basic_module modules/mod_auth_basic.so
LoadModule authnz_saf_module modules/mod_authnz_saf.so
# mod_authz_core will typically already load by default
LoadModule authz_core_module modules/mod_authz_core.so
# Uncomment mod_ibm_ssl if any type of SSL support is required, 
# such as client certificate authentication
#LoadModule ibm_ssl_module modules/mod_ibm_ssl.so

關於這項作業

SAF 鑑別是由 mod_authnz_saf 模組提供。mod_authnz_saf 模組可讓您查閱 SAF 中的使用者、群組和 SSL 用戶端憑證,以使用 HTTP 基本鑑別 (BA) 或用戶端憑證來限制存取。 在您回應要求之前,您可以使用這個模組,透過 SAFRunAS 指引,將執行緒從伺服器 ID 切換為另一個 ID。如需相關資訊,請參閱產品說明文件中的 SAF 指引。此外,如需移轉 SAF 指引的相關資訊,請參閱在 z/OS 系統上移轉和安裝 IBM HTTP Server

程序

  1. 如果您要使用 SAFRunAs,請允許 IBM HTTP Server 使用者 ID 存取 RACF® 中的 BPX.SERVER FACILITY 類別設定檔,並以 OMVS 區段來提供目標使用者 ID。
  2. 如果安全產品 (SAF) 中的 APPL 類別為作用中,則必須允許透過此模組來鑑別的使用者存取 OMVSAPPL 應用程式 ID。
  3. 決定您要限制存取的目錄位置。例如:<Location "/admin-bin">
  4. httpd.conf 檔案中的指引新增至要以環境特定值來保護的目錄或位置。 如果您想限制為只能由提供有效 SAF 使用者 ID 和密碼的使用者,才能存取 /secure 目錄中的檔案,請參考以下範例。
    <Directory  /secure> 	
    		AuthName protectedrealm_title	
    		AuthType Basic   
    		AuthBasicProvider saf   
    		Require valid-user   
    </Directory>
    您也可以置換上述範例中的 Require 指引,以根據使用者 ID 或 SAF 群組成員資格來限制存取,如下所示:
    require saf-user USERID
    require saf-group GROUPNAME
  5. 選擇性的: 指定 Require saf-user 或 Require saf-group,以將存取權限制給特定的 SAF 使用者或群組。

指出主題類型的圖示 作業主題



時間戳記圖示 前次更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=ihs-dist&topic=tihs_safconfigz
檔名:tihs_safconfigz.html