[z/OS]

Eigenes SAF-Zuordnungsmodul für WebSphere Application Server installieren und konfigurieren

Führen Sie diese Task aus, um in der Administrationskonsole zu einem der Systemanmeldemodule ein eigenes SAF-Zuordnungsmodul (System Authorization Facility) hinzuzufügen.

Vorbereitende Schritte

Wenn Sie für die Zuordnung von Java EE-IDs (Java Platform, Enterprise Edition) zu RACF-Benutzern (Resource Access Control Facility) ein Plug-in-Anmeldemodul verwenden möchten, müssen Sie ein solches Modul konfigurieren und anschließend in den entsprechenden JAAS-Systemanmeldekonfigurationen das von WebSphere Application Server for z/OS bereitgestellte Modul (com.ibm.ws.security.common.auth.module.MapPlatformSubject) konfigurieren. Wenn die SAF-Berechtigung oder Synch to OS Thread konfiguriert ist, kann eine Installation die aktive Registry von WebSphere Application Server als eigenständige LDAP-Registry oder eigenständige angepasste Registry konfigurieren.

WebSphere Application Server unterstützt auf keiner Plattform eine lokale Betriebssystemregistry für die Funktion "Eingebundene Repositorys". Eine SAF-verwaltete RACF-Registry wird unter der Funktion "Eingebundene Repositorys" demzufolge nicht unterstützt.

Aktualisierung: Eine SAF-verwaltete RACF-Registry wird unter der Funktion "Eingebundene Repositorys" unterstützt. In früheren Releases wird die Funktion nicht unterstützt. Zum Konfigurieren des SAF-Zuordnungsmoduls für die Verwendung eingebundener Repositorys mit einem SAF-Benutzerregistry-Adapter für die SAF-Berechtigung verwenden Sie den Artikel "Angepasstes SAF-Zuordnungsmodul für eingebundene Repositorys verwenden".

Bevor Sie fortfahren, müssen Sie wissen, wie man ein Zuordnungsmodul zum Abrufen einer SAF-Identität schreibt. Nähere Informationen finden Sie im Artikel Ein angepasstes SAF-Zuordnungsmodul mit einem nicht lokalen Betriebssystem schreiben. Falls Sie das Beispiel nicht verwenden, müssen Sie die relevanten Klassen erstellen und für jeden Knoten in der Zelle im Verzeichnis <WAS_HOME>/classes installieren. Dies gilt auch für den Deployment-Manager-Knoten einer Zelle. Wenn die Java 2-Sicherheit aktiviert ist, vergewissern Sie sich, dass die Datei server.policy aktualisiert ist und die entsprechenden Berechtigungen enthält.

Anmerkung: Wenn Sie die verteilte SAF-Identitätszuordnung verwenden möchten, ist es nicht erforderlich, ein Zuordnungsmodul zu konfigurieren.

Informationen zu diesem Vorgang

Das angepasste SAF-Zuordnungsmodul (com.ibm.websphere.security.SampleSAFMappingModule oder ein vom Kunden geschriebenes Zuordnungsmodul) muss zu jedem der folgenden Einträge für Systemanmeldemodule hinzugefügt und in der Reihenfolge der Systemanmeldemodule manuell an die vorletzte Position verschoben werden:
  • Fügen Sie den Eintrag für SWAM (Simple WebSphere Authentication Mechanism) zum Anmeldemodul SWAM hinzu.
    Anmerkung: Beachten Sie jedoch, dass SWAM ab WebSphere Application Server Version 9.0 als veraltet gilt und in einem der künftigen Releases entfernt wird.
  • Fügen Sie den Eintrag für LTPA (Lightweight Third Party Authentication) zu den Anmeldemodulen WEB_INBOUND, RMI_INBOUND und DEFAULT hinzu.

    LTPA ist das Standardauthentifizierungsverfahren für WebSphere Application Server Version 9.0.

Anmerkung: Wenn Sie für die Basiskonfiguration SWAM als Aktualisierungsverfahren auswählen, müssen Sie den Eintrag SWAM aktualisieren. Falls Sie jedoch vorhaben, LTPA als Authentifizierungsverfahren zu verwenden, sollten Sie alle vier Einträge für Systemanmeldemodule konfigurieren. Für eine Konfiguration von WebSphere Application Server Network Deployment müssen Sie nur die Konfigurationseinträge für das Authentifizierungsverfahren LTPA definieren.

Vorgehensweise

  1. Konfigurieren Sie wie folgt das angepasste Zuordnungsmodul:
    1. Klicken Sie auf Sicherheit > Globale Sicherheit.
    2. Klicken Sie unter "Java Authentication and Authorization Service" auf Systemanmeldungen > Anmeldemodulname.
    3. Klicken Sie unter "Weitere Eigenschaften" auf JAAS-Anmeldemodule > Neu.
    4. Geben Sie den Klassennamen des angepassten Anmeldemoduls in der Datei Klassenname des Moduls ein. (Verwenden Sie für das mitgelieferte Beispielmodul "com.ibm.websphere.security.SampleSAFMappingModule".)
    5. Klicken Sie auf Anwenden, um das neue Modul zur Liste der Anmeldemodule hinzuzufügen.
  2. Konfigurieren Sie wie folgt das bereitgestellte Anmeldemodul com.ibm.ws.security.common.auth.module.MapPlatformSubject:
    1. Klicken Sie auf Sicherheit > Globale Sicherheit.
    2. Klicken Sie unter "Java Authentication and Authorization Service" auf Systemanmeldungen > Anmeldemodulname.
    3. Klicken Sie unter "Weitere Eigenschaften" auf JAAS-Anmeldemodule > Neu.
    4. Geben Sie den Klassennamen com.ibm.ws.security.common.auth.module.MapPlatformSubject ein.
    5. Klicken Sie auf Anwenden, um das neue Modul zur Liste der Anmeldemodule hinzuzufügen.
  3. Klicken Sie auf Sicherheit > Globale Sicherheit.
  4. Klicken Sie unter "Authentifizierung" auf Java Authentication and Authorization Service und anschließend auf Systemanmeldungen >Anmeldemodulname.
  5. Klicken Sie unter "Weitere Eigenschaften" auf JAAS-Anmeldemodule > Reihenfolge festlegen, und vergewissern Sie sich, dass das neue Zuordnungsmodul vor com.ibm.ws.security.common.auth.module.MapPlatformSubject und nach com.ibm.ws.security.server.lm.wsMapDefaultInboundLoginModule steht.

    Das neue Zuordnungsmodul muss vor com.ibm.ws.security.common.auth.module.MapPlatformSubject und nach com.ibm.ws.security.server.lm.wsMapDefaultInboundLoginModule stehen.

  6. Wählen Sie das Kästchen neben dem neuen Zuordnungsmodul aus, und klicken Sie auf Nach oben. Wenn die Zuordnungsmodule die richtige Reihenfolge haben, klicken Sie auf Anwenden und auf Speichern. Klicken Sie erneut auf Speichern. (In einer Zelle von WebSphere Application Server Network Deployment müssen Sie sicherstellen, dass Änderungen mit Knoten synchronisieren ausgewählt ist.)

Nächste Schritte

Nehmen Sie diese Änderungen für alle Systemanmeldemodule vor, die Sie für Ihre Konfiguration von WebSphere Application Server for z/OS benötigen. Welche Systemanmeldemodule erforderlich sind, hängt vom verwendeten Authentifizierungsverfahren (SWAM oder LTPA) ab.

Anmerkung: Falls die Eigenschaften des von Ihnen installierten SAF-ID-Zuordnungsmoduls konfigurierbar sind, können Sie sie aktualisieren, indem Sie in der Anzeige "JAAS - Systemanmeldungen" der Administrationskonsole angepasste Eigenschaften erstellen. Nutzen Sie dieses Beispiel zum Aktualisieren der Eigenschaften, wenn Sie das Modul "SampleSAFMapping" als Prototyp verwendet und die Klausel else mit angepasster Zuordnungslogik aktualisiert haben. In diesem Fall müssen Sie die angepasste Eigenschaft "useWSPrincipleName" erstellen und für jede betroffene JAAS-Konfiguration, die das modifizierte "SampleSAFMappingModule" verwendet, auf false setzen.
  1. Klicken Sie auf Sicherheit > Globale Sicherheit.
  2. Klicken Sie unter "Java Authentication and Authorization Service" auf Systemanmeldungen > Anmeldemodulname.
  3. Klicken Sie unter "Weitere Eigenschaften" auf JAAS-Anmeldemodule > com.ibm.websphere.security.SampleSAFMappingModule.
  4. Klicken Sie unter "Weitere Eigenschaften" auf Angepasste Eigenschaften > Neu.
  5. Geben Sie useWSPrincipalName als Namen der angepassten Eigenschaft ein und false als Wert.
  6. Klicken Sie auf Anwenden, Speichern und dann erneut auf Speichern.

Wiederholen Sie diesen Prozess für alle Systemanmeldemodule, die das modifizierte SampleSAFMappingModule verwenden.


Symbol, das den Typ des Artikels anzeigt. Taskartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_installsafmapmods
Dateiname:tsec_installsafmapmods.html