[z/OS]

Kerberos-Principal unter z/OS einer SAF-ID zuordnen

Wenn Sie das Optionsfeld KERB-Segment eines SAF-Benutzerprofils verwenden in der Kerberos-Anzeige der Administrationskonsole von WebSphere Application Server auswählen, müssen die Benutzer des lokalen Betriebssystems ein bestimmter Kerberos-Principal zugeordnet sein.

Vorbereitende Schritte

Bei diesen Anweisungen wird davon ausgegangen, dass Sie den z/OS-Sicherheitsserver (RACF) verwenden. Wenn Sie ein anderes Sicherheitsprodukt verwenden, fordern Sie beim jeweiligen Lieferanten weitere Informationen an.

Zum Anzeigen der Kerberos-Administrationskonsolenseite, die das Optionsfeld KERB-Segment eines SAF-Benutzerprofils verwenden enthält, klicken Sie auf Sicherheit > Globale Sicherheit. Klicken Sie unter "Authentifizierung" auf Kerberos-Konfiguration.

Das erste Optionsfeld auf der Kerberos-Administrationskonsolenanzeige unter "Kerberos-Principal-Namen SAF-Identitäten zuordnen", das die Bezeichnung SAF-Profile nicht für die Zuordnung von Kerberos-Principals zu SAF-Identitäten verwenden hat, ist standardmäßig ausgewählt, verwendet aber weder das RACMAP- noch das KERB-Segment für die Zuordnung.

Anmerkung: Dieses Optionsfeld muss ausgewählt werden, wenn Sie die Registry des lokalen Betriebssystems (LocalOS) unter z/OS und das integrierte Zuordnungsmodul verwenden, um Kerberos-Principals SAF-Identitäten zuzuordnen.

Die letzten beiden Optionsfelder unter "Kerberos-Principal-Namen SAF-Identitäten zuordnen", die die Bezeichnungen KERB-Segment eines SAF-Benutzerprofils verwenden und RACMAP-Profile im SAF-Produkt für verteilte Identitätszuordnung verwenden haben, dürfen nicht ausgewählt werden, wenn sie bereits ein JAAS-Zuordnungsmodul haben.

Fehler vermeiden Fehler vermeiden: Wenn Sie diese Option auswählen, um das integrierte Zuordnungsmodul zu verwenden, dürfen Sie keine anderen angepassten JAAS-Anmeldemodule für die Zuordnung des Kerberos-Principals zu einer SAF-Identität konfigurieren.gotcha

Informationen zu diesem Vorgang

Es gibt zwei Möglichkeiten, einen Kerberos-Principal einer SAF-Identität zuzuordnen, je nachdem, ob es sich um einen lokalen oder externen Kerberos-Principal handelt. Ein Kerberos-Principal ist lokal, wenn er sich im z/OS-Key-Distribution-Center desselben z/OS-Systems befindet wie die RACF-Datenbank.

Weitere Informationen zur Verwendung des Befehls ALTUSER zum Konfigurieren Ihres KDC finden Sie in der Veröffentlichung Z/OS V1R7.0 Integrated Security Services Network Authentication Service Administration.

Wenn Sie den Kerberos-Principal-Namen angeben, dürfen Sie nicht den Namen des Kerberos-Realm aufnehmen.

Lokalen Kerberos-Principal zuordnen:

  1. Wenn Sie Ihren RACF-Benutzer USER1 dem Namen des lokalen Kerberos-Principals "kerberosUser1" (beim Namen des Kerberos-Principals muss die Groß-/Kleinschreibung beachtet werden) zuordnen möchten, müssen Sie den folgenden RACF-Befehl absetzen:

    ALTUSER USER1 PASSWORD(security) NOEXPIRED KERB(KERBNAME(kerberosUser1))

  2. Wenn Sie die Interoperation mit einem Windows-KDC planen, geben Sie an, dass die Verschlüsselungsarten DES, DES3, DESD nicht unterstützt werden. Setzen Sie dazu den folgenden RACF-Befehl ab:
    ALTUSER USER1 PASSWORD(SECURITY) NOEXPIRED KERB(KERBNAME(kerberosUser1) ENCRYPT(DES NODES3 NODESD))
    Fehler vermeiden Fehler vermeiden: Sie müssen sicherstellen, dass die Liste der unterstützten Verschlüsselungstypen, die mit dem Befehl ALTUSER angegeben wird, mit den Angaben konsistent ist, die in der Kerberos-Konfigurationsdatei "krb5.conf" angegeben sind. Wenn in der Konfigurationsdatei "krb5.conf" beispielsweise angegeben ist, dass nur aes256-cts-hmac-sha1-96 unterstützt wird, muss im Operanden ENCRYPT alle Verschlüsseltypen mit Ausnahme von AES256 als nicht unterstützt gekennzeichnet sein.gotcha
  3. Prüfen Sie, ob der vorherige Befehl erfolgreich ausgeführt wurde. Setzen Sie dazu den folgenden RACF-Befehl ab:

    LISTUSER USER1 KERB NORACF

Am Ende der Ausgabe werden wie im folgenden Beispiel Informationen zu Kerberos angezeigt:
KERB INFORMATION                         
----------------                         
KERBNAME= kerberosUser1                  
KEY VERSION= 001                         
KEY ENCRYPTION TYPE= DES NODES3 NODESD

Der Befehl ALTUSER sollte für jeden RACF-Benutzer abgesetzt werden, der sich über Kerberos bei WebSphere Application Server anmelden muss.

Anmerkung: Der Name des Principal wird nicht in Großbuchstaben konvertiert, und der Realmname wird nicht aufgenommen. Wenn die Option für Kennwörter mit gemischter Groß-/Kleinschreibung nicht aktiviert ist, konvertiert der Befehl ALTUSER das Kennwort in Großbuchstaben. Ist diese Option aktiviert, müssen Sie sicherstellen, dass bei Anforderung eines ersten Kerberos-Tickets der Wert in Großschreibung verwendet wird. Weitere Informationen zu dieser Option enthält der Artikel Berücksichtigung der Groß-/Kleinschreibung in Kennwörtern bei Verwendung einer Registry des lokalen Betriebssystems. Sie müssen das Kennwort des Benutzers ändern, um den geheimen Kerberos-Schlüssel erstellen zu können.

Externen Kerberos-Principal zuordnen:

Sie können jeden Principal in einem externen Realm seiner eigenen Benutzer-ID in RACF zuordnen oder Sie können alle Principals in einem externen Realm derselben Benutzer-ID in RACF zuordnen. Definieren Sie ein allgemeines Ressourcenprofil in der Klasse KERBLINK, um einen externen Kerberos-Principal einem RACF-Benutzer zuzuordnen. Jede Zuordnung wird mit den Befehlen RDEFINE und RALTER definiert und geändert.

Anmerkung: Hinweis: Die Zeichen des Profilnamens der Klasse KERBLINK werden nicht Großbuchstaben umgesetzt, achten Sie also darauf, den Realmabschnitt des Profilnamens in Großbuchstaben und den Namen des externen Principals in erforderlicher Schreibweise einzugeben.

Weitere Informationen zur Verwendung der Klasse KERBLINK finden Sie in der Veröffentlichung z/OS Security Server RACF Security Administrator's Guide.

  1. Angenommen, Sie möchten den Namen des externen Kerberos-Principals "foreignKerberosUser2" des externen Realms FOREIGN.REALM.IBM.COM dem RACF-Benutzer USER2 zuordnen. Setzen Sie dazu den folgenden RACF-Befehl ab:

    RDEFINE KERBLINK /.../FOREIGN.REALM.IBM.COM/foreignKerberosUser2 APPLDATA('USER2')

  2. Prüfen Sie, ob der vorherige Befehl erfolgreich ausgeführt wurde. Setzen Sie dazu den folgenden RACF-Befehl ab:

    RLIST KERBLINK /.../FOREIGN.REALM.IBM.COM/foreignKerberosUser2

Die zugeordnete RACF-ID wird im Feld APPLICATION DATA wie in der folgenden Beispielausgabe des Befehls RLIST angezeigt:
CLASS      NAME
-----      ----
KERBLINK   /.../FOREIGN.REALM.IBM.COM/foreignKerberosUser2

LEVEL  OWNER      UNIVERSAL ACCESS  YOUR ACCESS  WARNING
-----  --------   ----------------  -----------  -------
00    IBMUSER         NONE              ALTER    NO

INSTALLATION DATA
-----------------
NONE 
APPLICATION DATA
----------------
USER2

AUDITING
--------
FAILURES(READ)

NOTIFY
------
NO USER TO BE NOTIFIED

Symbol, das den Typ des Artikels anzeigt. Taskartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_kerb_zmap
Dateiname:tsec_kerb_zmap.html