[z/OS]

Sichere LDAP-Benutzerregistry mit Resource Access Control Facility unter z/OS konfigurieren

Sie können den Anwendungsserver durch Konfiguration von Lightweight Access Directory Protocol (LDAP) unter z/OS mit einem vorhandenen RACF-Back-End (Resource Access Control Facility) sichern. Dabei werden die nativen z/OS-Sicherheitseinstellungen, die in RACF definiert sind, in die Sicherheitsumgebung von WebSphere Application Server integriert.

Vorbereitende Schritte

Die folgenden Voraussetzungen sind beim Implementieren dieser Schritte zu berücksichtigen:
  • Sie müssen einen LDAP-Server mit RACF unter z/OS konfiguriert haben. Weitere Informationen zu dieser Konfiguration finden Sie in der z/OS-Internetbibliothek.
  • Sie müssen LDAP on z/OS v1r3 oder höher verwenden. Für v1r3 und v1r4 müssen Sie APAR 0A03857 - PTF UA06622 anwenden, bevor Sie diese Schritte ausführen.
  • Der Benutzer meldet sich bei der WebSphere-Sicherheitskomponente mit der RACF-Benutzer-ID an und wird mit LDAP über ein Kennwort und einen definierten Namen, den so genannten Bind-DN, authentifiziert. Der Bind-DN setzt sich aus der RACF-Benutzer-ID und dem Suffix SDBM aus der Konfigurationsdatei des LDAP-Servers zusammen. Wenn die RACF-Benutzer-ID beispielsweise johndoe und der Suffixwert im SDBM-Abschnitt der LDAP-Konfigurationsdatei cn=myRACF lauten, ergibt sich folgender Bind-DN: racfid=johndoe, profiletype=user, cn=myRACF.
  • Jede RACF-Gruppe, einschließlich der WebSphere-Sicherheitsgruppen, zu der ein Benutzer gehört, wird in einem racfconnectgroupname-Attribut, das mehrere Werte unterstützt, im LDAP-Eintrag für den Benutzer gespeichert. Das Attribut wird zurückgegeben, wenn die Basisstruktur oder eine untergeordnete Baumstruktur mithilfe des Benutzer-DN als Basis-DN durchsucht wird.
  • Der Bind-DN muss einen RACF-Benutzer mit der Berechtigung Special oder Auditor darstellen. Weitere Informationen zu den erforderlichen RACF-Berechtigungen finden Sie in der Veröffentlichung "RACF Command Language Reference" zu z/OS Security Server für Ihre z/OS-Version in der z/OS-Internetbiblitohek.
  • Sie müssen das Attribut racfconnectgroupname im LDAP-Standardschema definieren.
    Hinweis: Wenn TBDM zusätzlich zu SDBM in der Konfigurationsdatei des LDAP-Servers definiert ist, ist das TDBM-Schema das Standardschema für den LDAP-Server. Wenn das TDBM-Schema nicht im Attribut racfconnectgroupname angegeben ist, entfernen Sie TDBM aus der Konfigurationsdatei des LDAP-Servers, oder fügen Sie das Schema der Datei schema.user.ldif und die Datei schema.IBM.ldif dem TDBM-Schema hinzu.

Vorgehensweise

  1. Klicken Sie auf Sicherheit > Globale Sicherheit.
  2. Wählen Sie unter "Repository für Benutzeraccounts" den Eintrag Eigenständige LDAP-Registry aus, und klicken Sie anschließend auf Konfigurieren.
  3. Klicken Sie unter "Typ des LDAP-Servers" auf Angepasst.
  4. Füllen Sie die Felder für Ihre LDAP-Umgebung aus. Weitere Informationen hierzu finden Sie im Artikel LDAP-Benutzerregistrys konfigurieren. Die Benutzer und Gruppen müssen in der untergeordneten Baumstruktur des Basis-DN enthalten sein.
  5. Stellen Sie sicher, dass die Option Groß-/Kleinschreibung für Berechtigung ignorieren ausgewählt ist. Die Groß-/Kleinschreibung von RACF-Benutzer- und -Gruppennamen wird nicht beachtet.
  6. Klicken Sie auf Anwenden und anschließend auf Speichern.
  7. Klicken Sie unter "Weitere Eigenschaften" auf Erweiterte Einstellungen für LDAP-Benutzerregistry.
  8. Ändern Sie den Benutzerfilter und Gruppenfilter in racfid=%v.
  9. Ändern Sie die Zuordnung der Benutzer-ID und die Zuordnung der Gruppen-ID in *:racfid.
  10. Ändern Sie die Zuordnung für Gruppenmember-IDs in racfconnectgroupname:racfgroupuserids.
  11. Klicken Sie auf Anwenden und anschließend auf Speichern.
  12. Ordnen Sie einem Benutzer der Verwaltungsrolle zu. Weitere Informationen hierzu finden Sie im Artikel Zugriff auf Verwaltungsrollen berechtigen.
  13. Starten Sie WebSphere Application Server erneut.

Ergebnisse

Ihre Umgebung ist jetzt mit LDAP unter z/OS und einem RACF-Back-End geschützt.

Symbol, das den Typ des Artikels anzeigt. Taskartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_config_racf
Dateiname:tsec_config_racf.html