![[z/OS]](../images/ngzos.gif)
Systemanmeldekonfigurationen für eine SAF-ID-Benutzer-Zuordnung aktualisieren
Verwenden Sie diese Task, um in Konfigurationen die Zuordnung von SAF-Identitäten zu modifizieren.
Vorbereitende Schritte
Informationen zu diesem Vorgang
Sie müssen ein Zuordnungsmodul in die JAAS-Konfiguration aufnehmen, dass die Zuordnung von einer Benutzerregistry (nicht die des lokalen Betriebssystems) zu einer SAF-Benutzer-ID ausführt. Das Anmeldemodul "com.ibm.ws.security.common.auth.module.MapPlatformSubject" folgt diesem Zuordnungsmodul in der Konfiguration. Als Authentifizierungsverfahren können Sie SWAM (Simple WebSphere Authentication Mechanism) oder LTPA (Lightweight Third Party Authentication) verwenden.
Weitere Informationen hierzu finden Sie unter "Authentifizierungsverfahren auswählen". Lesen Sie auch die Informationen im Artikel Java Authentication and Authorization Service.
Konfigurationen für Anwendungsanmeldung müssen für die Zuordnung zu SAF-Identitäten nicht geändert werden. Der WebSphere-Konfigurationseintrag für Anwendungsanmeldung WSLogin ruft ein Systemanmeldemodul auf, das als Standard konfiguriert ist und die Zuordnung durchführt, wenn die SAF-Berechtigung erforderlich ist.
Die folgenden Schritte sind (bei konfiguriertem WebSphere Application Server) erforderlich, um in Konfigurationen die Zuordnung von SAF-Identitäten zu modifizieren:
Vorgehensweise
- Aktualisieren Sie die erforderlichen Konfigurationen für Systemanmeldung in der Administrationskonsole von WebSphere Application Server oder mit den Scripting-Tools.
- Aktualisieren Sie, sofern erforderlich, die entsprechende Benutzerregistry-Anzeige, um die SAF-Berechtigung zu aktivieren.
- Falls Sie eine Installation von WebSphere Application Server Network Deployment migrieren, müssen Sie alle Knoten aktualisieren, so dass sie eine Servicestufe mit Unterstützung für die Zuordnung von SAF-Identitäten haben. Erst dann können Sie für eine vom lokalen Betriebssystem abweichende Benutzerregistry die SAF-Berechtigung aktivieren.
Ergebnisse
Nächste Schritte
Wenn LTPA konfiguriert ist und Sie die Registry von WebSphere Application Server einer SAF-Benutzer-ID zuordnen, sind für die Benutzerzuordnung die folgenden Konfigurationseinträge für Systemanmeldung erforderlich:
- WEB_INBOUND
- Die Anmeldekonfiguration WEB_INBOUND bearbeitet Anmeldungen für
Webanwendungsanforderungen, einschließlich Servlets und JSPs. Diese Anmeldekonfiguration interagiert
mit dem Ausgabeobjekt, das von einem TAI (Trust Association Interceptor) generiert wird, sofern ein solcher
konfiguriert ist. Das an die Anmeldekonfiguration
WEB_INBOUND übergebene Subjekt kann vom TAI generierte Objekte enthalten.
Anforderungen der Administrationskonsole von WebSphere Application Server und ein Teil der Verwaltungsfunktionen (einschließlich der Dateiübertragung) verwenden diesen Anmeldekonfigurationseintrag für die Authentifizierung.
- RMI_INBOUND
- Die Anmeldekonfiguration RMI_INBOUND bearbeitet Anmeldungen für ankommende RMI-Anforderungen. Diese Anmeldungen sind in der Regel Anforderungen, die sich auf einen authentifizierten Zugriff auf EJB-Dateien beziehen, und können bei Verwendung des RMI-Connectors als JMX-Anforderungen ausgeführt werden.
- DEFAULT
- Die Anmeldekonfiguration DEFAULT bearbeitet die Anmeldungen für ankommende Anforderungen von der Mehrzahl der übrigen Protokolle und internen Authentifizierungen, z. B. für die Kommunikation zwischen einem z/OS-Controller und einem Servant-Prozess nach Ausführung der ursprünglichen Authentifizierungsanforderung.
Wenn SWAM konfiguriert ist und Sie die Benutzerregistry von WebSphere Application Server einer SAF-Identität zuordnen, sind für die Benutzerzuordnung die folgenden Konfigurationseinträge für Systemanmeldung erforderlich:
- SWAM
- Dieser Eintrag wird für die gesamte Authentifizierung verwendet, wenn SWAM ausgewählt wurde.