![[z/OS]](../images/ngzos.gif)
Zuordnung verteilter Identitäten mit SAF
Das Feature für die Zuordnung verteilter Identitäten mit System Authorization Facility (SAF) für z/OS bietet einige wichtige Vorteile und ist neu in dieser Version von WebSphere Application Server.
In diesem Release von WebSphere Application Server können Sie die SAF-Sicherheit (z/OS System Authorization Facility) verwenden, um einer verteilten Identität eine SAF-Benutzer-ID zuzuordnen. Wenn Sie dieses Feature verwenden, können Sie die ursprünglichen Identitätsinformationen eines Benutzers für Prüfzwecke aufbewahren und müssen weniger Einstellungen in WebSphere Application Server konfigurieren.
Ihr z/OS-Sicherheitsprodukt muss eine Version haben, die die Zuordnung verteilter Identitäten unterstützt. Die richtige SAF-Version ist 7760 oder höher. Für Resource Access Control Facility (RACF) müssen Sie mit z/OS Version 1.11 oder höher arbeiten.
- Wenn Sie eine andere Registry als die des lokalen Betriebssystems, wie z. B. Directory Access Protocol (LDAP), und die SAF-Berechtigung, die Synchronisation von z/OS-Threadidentitäten (SyncToThread) oder die Option für RunAs-Threadidentitäten des Verbindungsmanagers verwenden, können Sie den LDAP-Benutzer mithilfe der RACMAP-SAF-Profile einem SAF-Benutzer im z/OS-Sicherheitsprodukt direkt zuordnen. Es sind keine Zuordnungsmodule erforderlich. Konfigurieren Sie diese Module deshalb nicht in WebSphere Application Server. SMF-Prüfsätze enthalten den LDAP-Benutzernamen und die zugeordnete SAF-Benutzer-ID.
- Wenn Sie die Registry des lokalen Betriebssystems (LocalOS) und Kerberos oder Simple and Protected GSS-API Negotiation (SPNEGO) verwenden, können Sie den Kerberos-Principal einem SAF-Benutzer im z/OS-Sicherheitsprodukt direkt zuordnen. Es sind keine Zuordnungsmodule erforderlich. Konfigurieren Sie diese Module deshalb nicht in WebSphere Application Server. SMF-Prüfsätze enthalten den Kerberos-Principal und die zugeordnete SAF-Benutzer-ID.
Vorteile der Verwendung des Features für die Zuordnung verteilter Identitäten
- Wenn ein Benutzer unter dem Betriebssystem z/OS mit SMF geprüft wird, enthält der Prüfsatz die verteilte Identität und die zugeordnete SAF-Benutzer-ID. Dies verbessert die plattformübergreifende Interoperabilität und ist für hostorientierte und heterogene Anwendungsumgebung von Nutzen.
- Die Zuordnung verteilter Identitäten wird vom Administrator der z/OS-Sicherheit vorgenommen. Deshalb müssen keine Zuordnungsmodule in der Konfiguration von WebSphere Application Server konfiguriert werden.
Einsatzmöglichkeiten für das Feature für die Zuordnung verteilter Identitäten
- Szenario 1: Wenn Sie eine nicht lokale
Betriebssystemregistry mit SAF-Berechtigung, Synchronisation von z/OS-Threadidentitäten
(SyncToThread) oder mit der Option für die RunAs-Threadidentität des Verbindungsmanagers
konfiguriert haben, können Sie dieses Feature verwenden, um Ihren Registry-Benutzer einem
SAF-Benutzer zuzuordnen. In früheren Releases musste dieser Prozess mit JAAS-Anmeldemodulen (Java™ Authentication and Authorization
Service) durchgeführt werden, die in WebSphere Application Server konfiguriert wurden.
Die Vorteile der Zuordnung verteilter Identitäten sind folgende: Die SMF-Prüfdatensätze enthalten den verteilten Benutzer und den SAF-Benutzer, und die Zuordnung wird vom z/OS-Sicherheitsadministrator gesteuert.
Wenn ein Benutzer aus der Registry des lokalen Betriebssystems zugeordnet wird, ist der verteilte Benutzernamen der Wert, der von der API "WSCredential.getUniqueSecurityName()" von WebSphere Application Server zurückgegeben wird. Der Realmname wird von der API "WSCredential.getRealmName()" von WebSphere Application Server bestimmt.
Zum Aktivieren der Zuordnung verteilter Identitäten für dieses Szenario sind keine weiteren Änderungen in der Sicherheitskonfiguration erforderlich.
Anmerkung: Wenn Sie für Szenario 1 die Registry für eingebundene Repositorys verwenden, die mit der UserRegistry-Brücke konfiguriert ist, können Sie trotzdem die Vorteile des SAF-Features für die Zuordnung verteilter Identitäten nutzen. Wenn Sie sich mit einer SAF-Benutzer-ID anmelden, wird diese nicht zugeordnet. Wenn Sie sich jedoch mit einer verteilten Benutzer-ID anmelden, wird diese einem SAF-Benutzer zugeordnet. - Szenario 2: Wenn Sie eine Registry des lokalen Betriebssystem
auf der z/OS-Plattform konfiguriert und Kerberos
oder SPNEGO aktiviert haben, können Sie den Kerberos-Principalnamen mit dem Feature für die Zuordnung verteilter
Identitäten einem SAF-Benutzer zuordnen.
In früheren Releases konnten Sie entweder ein
JAAS-Anmeldemodul, das in
WebSphere Application
Server konfiguriert wurde, oder das KERB-Segment des SAF-Benutzers im
z/OS-Sicherheitsprodukt für die Zuordnung verwenden.
Die Zuordnung verteilter Identitäten hat den folgenden Vorteil: Die SMF-Datensätze enthalten den Kerberos-Benutzer und den zugeordneten SAF-Benutzer.
Wenn ein Kerberos-Benutzer zugeordnet wird, ist der verteilte Benutzername der Name des Kerberos-Principals. Der Realmname ist der Kerberos-Realmname des Kerberos-KDC (Key Distribution Center). Weitere Informationen zum Erstellen von Filtern für verteilte Identitäten im z/OS-Sicherheitsprodukt finden Sie im Artikel zur Konfiguration von Filtern für verteilte Identitäten in der z/OS-Sicherheit.
Gehen Sie wie folgt vor, um die Zuordnung verteilter Identitäten für dieses Szenario zu aktivieren:- Navigieren Sie zu Sicherheit > Globale Sicherheit > Kerberos-Konfiguration.
- Wählen Sie das Optionsfeld RACMAP-Profile im SAF-Produkt für verteilte Identitätszuordnung verwenden aus.
Wenn Sie diese Änderung mit wsadmin-Scripting durchführen möchten, setzen Sie die angepasste Sicherheitseigenschaft "com.ibm.websphere.security.krb.useRACMAPMappingToSAF=true".
- Szenario 3: Wenn Sie eine Registry des lokalen Betriebssystems konfiguriert haben, können Sie ein zugesichertes
Zertifikat oder einen zugesicherten definierten Namen einem SAF-Benutzer zuordnen.
In früheren Releases wurde das erste Attribut des zugesicherten DN-Namens einem SAF-Benutzer zugeordnet. Die Verwendung der Zuordnung verteilter Identitäten für einen zugesicherten definierten Namen (DN) hat den Vorteil, dass sie mehr Flexibilität für die Zuordnung von Benutzern bietet. Die Zuordnung wird vom z/OS-Sicherheitsadministrator gesteuert, und die SMF-Prüfdatensätze enthält sowohl den zugesicherten DN als auch die zugeordnete SAF-Benutzer-ID. In früheren Releases wurde einem SAF-Benutzer mit der Funktion RACDCERT MAP in SAF ein zugesichertes Zertifikat zugeordnet. Die Verwendung der Zuordnung verteilter Identitäten hat den Vorteil, dass die SMF-Prüfdatensätze sowohl den Zertifikats-DN als auch die zugeordnete SAF-Benutzer-ID enthalten. Außerdem wird in der SAF-Datenbank Platz eingespart, weil die digitalen Zertifikate nicht gespeichert werden müssen.
Wenn ein zugesichertes Zertifikat oder ein zugesicherter DN in SAF zugeordnet wird, ist der verteilte Benutzer der DN und der Realmname der aktuelle SAF-Realm.
Wenn ein zugesichertes Zertifikat oder ein zugesicherter DN in SAF zugeordnet wird, ist der verteilte Benutzer der DN und der Realmname der aktuelle SAF-Realm.
Gehen Sie wie folgt vor, um die Zuordnung verteilter Identitäten für dieses Szenario zu aktivieren:- Navigieren Sie zu Sicherheit > Globale Sicherheit > Eingehende CSIv2-Kommunikation.
- Wählen Sie für als Einstellung für die Attributebene den Eintrag Zertifikat und DN über verteilte SAF-Identitätszuordnung zuordnen aus.
Wenn Sie diese Änderung mit wsadmin-Scripting durchführen möchten, setzen Sie die angepasste Sicherheitseigenschaft "com.ibm.websphere.security.certdn.useRACMAPMappingToSAF=true".
Szenario 4: Wenn Sie eine Registry des lokalen Betriebssystems konfiguriert haben, können Sie ein auf CSIv2-Transportebene empfangenes Zertifikat einem SAF-Benutzer zuordnen.
In früheren Releases wurde einem SAF-Benutzer mit der Funktion RACDCERT MAP in SAF ein Zertifikat zugeordnet. Die Verwendung der Zuordnung verteilter Identitäten hat den Vorteil, dass die SMF-Prüfdatensätze sowohl den Zertifikats-DN als auch die zugeordnete SAF-Benutzer-ID enthalten.
Wenn ein auf CSIv2-Transportebene empfangenes Zertifikat zugeordnet wird, ist der verteilte Benutzer der DN und der Realmname der aktuelle SAF-Realm. Außerdem wird in der SAF-Datenbank Platz eingespart, weil die digitalen Zertifikate nicht gespeichert werden müssen.
Gehen Sie wie folgt vor, um die Zuordnung verteilter Identitäten für dieses Szenario zu aktivieren:- Navigieren Sie zu Sicherheit > Globale Sicherheit > Eingehende CSIv2-Kommunikation.
- Wählen Sie für als Einstellung für die Transportebene den Eintrag Zertifikat über verteilte SAF-Identitätszuordnung zuordnen aus.
Wenn Sie diese Änderung mit wsadmin-Scripting vornehmen möchten, setzen Sie die angepasste Sicherheitseigenschaft "com.ibm.websphere.security.certificate.useRACMAPMappingToSAF=true".
Anmerkung: Wenn Ihr definierter Name ein Leerzeichen zwischen den Attributen enthält, müssen Sie RACF-APAR OA34258 oder PTF UA59873 und SAF-APAR OA34259 oder PTF UA59871 anwenden, damit die Leerzeichen ordnungsgemäß geparst werden.
Szenario | SAF-Version | Benutzerregistry | SAF authorization=true oder SyncToThread=true oder runAs=true? | JAAS-Zuordnungsmodul konfiguriert? | Kerberos oder SPNEGO aktiviert |
---|---|---|---|---|---|
Szenario 1 | 7760 oder höher (z/OS 1.11 oder höher für RACF) | Nicht LocalOS | Ja | Nein | Nicht zutreffend |
Szenario 2 | 7760 oder höher (z/OS 1.11 oder höher für RACF) | LocalOS (Lokales Betriebssystem) | Ja | Nein | Ja |
Szenario 3 | 7760 oder höher (z/OS 1.11 oder höher für RACF) | LocalOS (Lokales Betriebssystem) | Ja | Nein | Nicht zutreffend |
![]() |
![]() |
![]() |
![]() |
![]() |
![]() |
Hinweise für die Konfiguration des Features für die Zuordnung verteilter Identitäten
Wenn Sie das Feature für die Zuordnung verteilter Identitäten konfigurieren, müssen Sie die folgenden Aktionen ausführen:
- Bestimmen Sie die SAF-Version. Sie müssen zuerst sicherstellen, dass Ihre Version der z/OS-Sicherheit SAF Version 7760 oder höher ist. Wenn Sie RACF verwenden, müssen Sie mit z/OS Version 1.11 oder höher arbeiten. Zur Bestimmung der richtigen Version wird eine neue AdminTask mit dem Namen "isSAFVersionValidForIdentityMapping()" bereitgestellt. Außerdem wird die Informationsnachricht SECJ6233I im Serverjobprotokoll ausgegeben, die die aktuelle SAF-Version enthält.
- Entfernen Sie nicht benötigte JAAS-Anmeldemodule. Sie müssen sicherstellen, dass das JAAS-Anmeldemodul
"com.ibm.ws.security.common.auth.module.MapPlatformSubject" nicht in der Konfiguration von WebSphere konfiguriert ist.
In früheren Releases von
WebSphere Application
Server wurde die Zuordnung einer verteilten Benutzer-ID zu einem SAF-Benutzer über Anmeldemodule vorgenommen.
Solange dieses Anmeldemodul konfiguriert ist, verwendet die Sicherheitskonfiguration
die frühere Methode für die Zuordnung eine verteilten Benutzer-ID zu einem SAF-Benutzer.
Wenn Sie eine neue Zelle in WebSphere Application Server Version 8.0
konfigurieren, wird dieses JAAS-Anmeldemodul standardmäßig nicht konfiguriert. Deshalb ist keine weitere Aktion erforderlich.
Haben Sie Ihre Zelle jedoch auf WebSphere Application
Server Version 8.0 migriert, ist das JAAS-Anmeldemodul wahrscheinlich vorhanden und muss entfernt werden.
Sie können die Administrationskonsole oder wsadmin-Scripting
verwenden, um dieses Anmeldemodul zu entfernen. Alternativ können Sie das bereitgestellte Jython-Script
"removeMapPlatformSubject.py" verwenden, das dieses Anmeldemodul sucht und aus den entsprechenden Anmeldeeinträgen entfernt.
Weitere Informationen zur Verwendung dieses Scripts finden Sie im Artikel zum Script "removeMapPlatformSubject".
Gehen Sie zum Löschen des JAAS-Anmeldemoduls in der Administrationskonsole wie folgt vor:
- Klicken Sie auf Sicherheit > Globale Sicherheit > Java Authentication and Authorization Service > Systemanmeldungen.
- Klicken Sie auf DEFAULT.
- Wählen Sie das Kontrollkästchen für das JAAS-Anmeldemodul "com.ibm.ws.security.common.auth.module.MapPlatformSubject" aus, und klicken Sie dann auf Löschen.
- Klicken Sie auf OK.
- Wiederholen Sie die Schritte 2-4 für die Systemanmeldungen WEB_INBOUND, RMI_INBOUND und SWAM_ZOSMAPPING.
- Ordnen Sie SAF-Benutzer im z/OS-Sicherheitsprodukt zu. Verwenden Sie den Befehl RACMAP im z/OS-Sicherheitsprodukt, um einen Filter für verteilte Identitäten
zu konfigurieren.
Verwenden Sie diesen Filter, um mehrere verteilte Benutzer einem einzigen SAF-Benutzer zuzuordnen. Sie können aber auch
eine Eins-zu-eins-Zuordnung verwenden.
Der Filter für verteilte Identitäten setzt sich aus zwei Teilen zusammen:
dem verteilten Benutzernamen und dem Realmnamen der Registry, in der der verteilte Benutzer enthalten ist.
Anmerkung: Manchmal werden Änderungen an den RACMAP-Filtern im WebSphere-Server nicht sofort wirksam. Weitere Einzelheiten finden Sie unter "RACMAP-Filteränderungen für einen authentifizierten Benutzer aktivieren" im Artikel zur Konfiguration von Filtern für verteilte Identitäten in der z/OS-Sicherheit.
Wenn Sie das SAF-Feature für die Zuordnung verteilter Identitäten auf der Ebene der Sicherheitsdomäne konfigurieren, notieren Sie sich den Realmnamen für diese Domäne. Sie können einen Realmnamen angeben oder den vom System generierten Realmnamen verwenden. Unabhängig von der ausgewählten Option ist dies der Realmname, den Sie verwenden müssen, wenn Sie die Zuordnungen in der SAF-Registry definieren.
- Nehmen Sie die erforderlichen Änderungen an der Sicherheitskonfiguration vor. Prüfen Sie die aufgelisteten Szenarien 1-4, um zu ermitteln, welche zusätzlichen Änderungen an der Sicherheitskonfiguration vorgenommen werden sollten.