![[z/OS]](../images/ngzos.gif)
Sichere LDAP-Benutzerregistry mit Resource Access Control Facility unter z/OS konfigurieren
Sie können den Anwendungsserver durch Konfiguration von Lightweight Access Directory Protocol (LDAP) unter z/OS mit einem vorhandenen RACF-Back-End (Resource Access Control Facility) sichern. Dabei werden die nativen z/OS-Sicherheitseinstellungen, die in RACF definiert sind, in die Sicherheitsumgebung von WebSphere Application Server integriert.
Vorbereitende Schritte
Die folgenden Voraussetzungen sind beim Implementieren dieser Schritte zu berücksichtigen:
- Sie müssen einen LDAP-Server mit RACF unter z/OS konfiguriert haben. Weitere Informationen zu dieser Konfiguration finden Sie in der z/OS-Internetbibliothek.
- Sie müssen LDAP on z/OS v1r3 oder höher verwenden. Für v1r3 und v1r4 müssen Sie APAR 0A03857 - PTF UA06622 anwenden, bevor Sie diese Schritte ausführen.
- Der Benutzer meldet sich bei der WebSphere-Sicherheitskomponente mit der RACF-Benutzer-ID an und wird mit LDAP über ein Kennwort und einen definierten Namen, den so genannten Bind-DN, authentifiziert. Der Bind-DN setzt sich aus der RACF-Benutzer-ID und dem Suffix SDBM aus der Konfigurationsdatei des LDAP-Servers zusammen. Wenn die RACF-Benutzer-ID beispielsweise johndoe und der Suffixwert im SDBM-Abschnitt der LDAP-Konfigurationsdatei cn=myRACF lauten, ergibt sich folgender Bind-DN: racfid=johndoe, profiletype=user, cn=myRACF.
- Jede RACF-Gruppe, einschließlich der WebSphere-Sicherheitsgruppen, zu der ein Benutzer gehört, wird in einem racfconnectgroupname-Attribut, das mehrere Werte unterstützt, im LDAP-Eintrag für den Benutzer gespeichert. Das Attribut wird zurückgegeben, wenn die Basisstruktur oder eine untergeordnete Baumstruktur mithilfe des Benutzer-DN als Basis-DN durchsucht wird.
- Der Bind-DN muss einen RACF-Benutzer mit der Berechtigung Special oder Auditor darstellen. Weitere Informationen zu den erforderlichen RACF-Berechtigungen finden Sie in der Veröffentlichung "RACF Command Language Reference" zu z/OS Security Server für Ihre z/OS-Version in der z/OS-Internetbiblitohek.
- Sie müssen das Attribut racfconnectgroupname im LDAP-Standardschema definieren. Hinweis: Wenn TBDM zusätzlich zu SDBM in der Konfigurationsdatei des LDAP-Servers definiert ist, ist das TDBM-Schema das Standardschema für den LDAP-Server. Wenn das TDBM-Schema nicht im Attribut racfconnectgroupname angegeben ist, entfernen Sie TDBM aus der Konfigurationsdatei des LDAP-Servers, oder fügen Sie das Schema der Datei schema.user.ldif und die Datei schema.IBM.ldif dem TDBM-Schema hinzu.
Vorgehensweise
- Klicken Sie auf Sicherheit > Globale Sicherheit.
- Wählen Sie unter "Repository für Benutzeraccounts" den Eintrag Eigenständige LDAP-Registry aus, und klicken Sie anschließend auf Konfigurieren.
- Klicken Sie unter "Typ des LDAP-Servers" auf Angepasst.
- Füllen Sie die Felder für Ihre LDAP-Umgebung aus. Weitere Informationen hierzu finden Sie im Artikel LDAP-Benutzerregistrys konfigurieren. Die Benutzer und Gruppen müssen in der untergeordneten Baumstruktur des Basis-DN enthalten sein.
- Stellen Sie sicher, dass die Option Groß-/Kleinschreibung für Berechtigung ignorieren ausgewählt ist. Die Groß-/Kleinschreibung von RACF-Benutzer- und -Gruppennamen wird nicht beachtet.
- Klicken Sie auf Anwenden und anschließend auf Speichern.
- Klicken Sie unter "Weitere Eigenschaften" auf Erweiterte Einstellungen für LDAP-Benutzerregistry.
- Ändern Sie den Benutzerfilter und Gruppenfilter in racfid=%v.
- Ändern Sie die Zuordnung der Benutzer-ID und die Zuordnung der Gruppen-ID in *:racfid.
- Ändern Sie die Zuordnung für Gruppenmember-IDs in racfconnectgroupname:racfgroupuserids.
- Klicken Sie auf Anwenden und anschließend auf Speichern.
- Ordnen Sie einem Benutzer der Verwaltungsrolle zu. Weitere Informationen hierzu finden Sie im Artikel Zugriff auf Verwaltungsrollen berechtigen.
- Starten Sie WebSphere Application Server erneut.