[z/OS]

Autenticando-se com o SAF no IBM HTTP Server (Sistemas z/OS)

É possível autenticar-se no IBM® HTTP Server no z/OS usando a autenticação básica HTTP ou certificados de cliente com o produto de segurança System Authorization Facility (SAF). Utilize a autenticação do SAF para verificação dos IDs de usuários e senhas ou certificados.

Antes de Iniciar

As diretivas mod_authz_default e mod_auth_basic fornecem suporte de autenticação e autorização básicas, que é necessário em configurações de mod_authnz_saf. Além disso, a diretiva mod_ibm_ssl suporta certificados de cliente SSL. Se você usar a autenticação SAF, certifique-se de que as três primeiras diretivas LoadModule do seguinte exemplo estejam ativadas. Se você usar certificados de cliente SSL, certifique-se de que a diretiva mod_ibm_ssl.so LoadModule também esteja ativada.
LoadModule auth_basic_module modules/mod_auth_basic.so
LoadModule authnz_saf_module modules/mod_authnz_saf.so
# Normalmente mod_authz_core já é carregado por padrão
LoadModule authz_core_module modules/mod_authz_core.so
# Uncomment mod_ibm_ssl if any type of SSL support is required, 
# such as client certificate authentication
#LoadModule ibm_ssl_module modules/mod_ibm_ssl.so

Sobre Esta Tarefa

A autenticação SAF é fornecida pelo módulo mod_authnz_saf. O módulo mod_authnz_saf permite o uso de autenticação básica HTTP ou de certificados de cliente para restringir o acesso, consultando usuários, grupos e certificados de cliente SSL no SAF. Use esse módulo para alternar o encadeamento do ID do servidor para outro ID antes de responder à solicitação usando a diretiva SAFRunAS. Para obter informações adicionais, consulte Diretivas SAF na documentação do produto. Consulte também Migrando e instalando o IBM HTTP Server em sistemas z/OS para obter informações sobre como migrar suas diretivas SAF.

Procedimento

  1. Se estiver usando SAFRunAs, permita o ID do usuário do IBM HTTP Server no perfil de classe BPX.SERVER FACILITY no RACF e forneça o ID do usuário de destino com um segmento OMVS.
  2. Se a classe APPL está ativa no produto de segurança (SAF), usuários que autenticam via este módulo deve ter permissão para o ID do aplicativo OMVSAPPL.
  3. Determine o local do diretório ao qual você deseja limitar o acesso. Por exemplo: <Location "/admin-bin">.
  4. Inclua diretivas no arquivo httpd.conf no diretório ou local a ser protegido com valores específicos para seu ambiente. Se desejar restringir o acesso aos arquivos no diretório /secure apenas aos usuários que fornecem um ID do usuário e uma senha SAF válidos, considere este exemplo.
    <Directory  /secure> 	
    		AuthName protectedrealm_title	
    		AuthType Basic   
    		AuthBasicProvider saf   
    		Require valid-user   
    </Directory>
    Também é possível restringir o acesso com base no ID do usuário ou na associação ao grupo do SAF substituindo a diretiva Require no exemplo anterior, conforme a seguir:
    require saf-user USERID
    require saf-group GROUPNAME
  5. Opcional: Especifique Require saf-user ou Require saf-group para acesso restrito a um usuário ou grupo SAF específico.

Ícone que indica o tipo de tópico Tópico de Tarefa



Ícone de registro de data e hora Última atualização: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=ihs-dist&topic=tihs_safconfigz
Nome do arquivo: tihs_safconfigz.html