Führen Sie diese Task aus, um in der Administrationskonsole zu einem der Systemanmeldemodule
ein eigenes SAF-Zuordnungsmodul (System Authorization Facility) hinzuzufügen.
Vorbereitende Schritte
Wenn Sie für die Zuordnung von Java EE-IDs
(Java Platform, Enterprise Edition)
zu RACF-Benutzern (Resource Access Control Facility) ein Plug-in-Anmeldemodul verwenden möchten, müssen Sie ein solches Modul konfigurieren und
anschließend in den entsprechenden JAAS-Systemanmeldekonfigurationen das von
WebSphere Application Server for z/OS bereitgestellte Modul
(com.ibm.ws.security.common.auth.module.MapPlatformSubject) konfigurieren. Wenn die SAF-Berechtigung oder Synch to OS Thread konfiguriert ist, kann eine Installation
die aktive Registry von WebSphere Application Server als eigenständige LDAP-Registry oder eigenständige angepasste Registry
konfigurieren.
WebSphere Application Server unterstützt auf keiner Plattform eine lokale Betriebssystemregistry für die Funktion "Eingebundene Repositorys". Eine SAF-verwaltete RACF-Registry wird unter der Funktion "Eingebundene Repositorys" demzufolge nicht unterstützt.
Aktualisierung: Eine SAF-verwaltete
RACF-Registry wird unter der Funktion "Eingebundene Repositorys" unterstützt. In früheren
Releases wird die Funktion nicht unterstützt.
Zum Konfigurieren des SAF-Zuordnungsmoduls für die Verwendung
eingebundener Repositorys mit einem SAF-Benutzerregistry-Adapter für die SAF-Berechtigung
verwenden Sie den Artikel "Angepasstes SAF-Zuordnungsmodul für eingebundene Repositorys verwenden".
Bevor Sie fortfahren, müssen Sie wissen, wie man ein Zuordnungsmodul zum Abrufen einer SAF-Identität
schreibt. Nähere Informationen finden Sie im Artikel Ein angepasstes SAF-Zuordnungsmodul mit einem nicht lokalen Betriebssystem schreiben. Falls Sie das Beispiel nicht verwenden, müssen Sie die relevanten Klassen erstellen und für jeden Knoten in der Zelle im Verzeichnis
<WAS_HOME>/classes installieren. Dies gilt auch für den Deployment-Manager-Knoten einer Zelle. Wenn die Java 2-Sicherheit aktiviert ist,
vergewissern Sie sich, dass die Datei server.policy aktualisiert ist und
die entsprechenden Berechtigungen enthält.
Anmerkung: Wenn Sie die verteilte SAF-Identitätszuordnung verwenden möchten, ist es nicht erforderlich, ein Zuordnungsmodul zu konfigurieren.
Informationen zu diesem Vorgang
Das angepasste SAF-Zuordnungsmodul (com.ibm.websphere.security.SampleSAFMappingModule oder ein vom Kunden geschriebenes
Zuordnungsmodul) muss zu jedem der folgenden Einträge für Systemanmeldemodule hinzugefügt und in der Reihenfolge der Systemanmeldemodule manuell an die vorletzte Position verschoben werden:
- Fügen Sie den Eintrag für SWAM (Simple WebSphere Authentication Mechanism) zum Anmeldemodul
SWAM hinzu.
Anmerkung: Beachten Sie jedoch, dass SWAM ab
WebSphere Application Server Version 9.0 als veraltet gilt und in
einem der künftigen Releases entfernt wird.
- Fügen Sie den Eintrag für LTPA (Lightweight Third Party Authentication) zu den Anmeldemodulen WEB_INBOUND, RMI_INBOUND und
DEFAULT hinzu.
LTPA ist das Standardauthentifizierungsverfahren für WebSphere Application Server Version 9.0.
Anmerkung: Wenn Sie für die Basiskonfiguration SWAM als Aktualisierungsverfahren auswählen, müssen Sie den Eintrag
SWAM aktualisieren. Falls Sie jedoch vorhaben, LTPA
als Authentifizierungsverfahren zu verwenden, sollten Sie alle vier Einträge für Systemanmeldemodule konfigurieren. Für eine Konfiguration von WebSphere Application Server Network Deployment müssen Sie nur die Konfigurationseinträge für das Authentifizierungsverfahren LTPA
definieren.
Vorgehensweise
- Konfigurieren Sie wie folgt das angepasste Zuordnungsmodul:
- Klicken Sie auf Sicherheit > Globale Sicherheit.
- Klicken Sie unter "Java Authentication and Authorization Service"
auf Systemanmeldungen > Anmeldemodulname.
- Klicken Sie unter "Weitere Eigenschaften" auf JAAS-Anmeldemodule > Neu.
- Geben Sie den Klassennamen des angepassten Anmeldemoduls in der Datei Klassenname des
Moduls ein. (Verwenden Sie für das mitgelieferte Beispielmodul "com.ibm.websphere.security.SampleSAFMappingModule".)
- Klicken Sie auf Anwenden, um das neue Modul zur Liste der Anmeldemodule hinzuzufügen.
- Konfigurieren Sie wie folgt das bereitgestellte Anmeldemodul com.ibm.ws.security.common.auth.module.MapPlatformSubject:
- Klicken Sie auf Sicherheit > Globale Sicherheit.
- Klicken Sie unter
"Java Authentication and Authorization Service"
auf Systemanmeldungen > Anmeldemodulname.
- Klicken Sie unter "Weitere Eigenschaften" auf JAAS-Anmeldemodule > Neu.
- Geben Sie den Klassennamen com.ibm.ws.security.common.auth.module.MapPlatformSubject ein.
- Klicken Sie auf Anwenden, um das neue Modul zur Liste der Anmeldemodule hinzuzufügen.
- Klicken Sie auf Sicherheit > Globale Sicherheit.
- Klicken Sie unter "Authentifizierung" auf Java
Authentication and Authorization Service und anschließend auf Systemanmeldungen >Anmeldemodulname.
- Klicken Sie unter "Weitere Eigenschaften" auf JAAS-Anmeldemodule > Reihenfolge festlegen, und vergewissern Sie sich,
dass das neue Zuordnungsmodul vor com.ibm.ws.security.common.auth.module.MapPlatformSubject und nach
com.ibm.ws.security.server.lm.wsMapDefaultInboundLoginModule steht.
Das neue Zuordnungsmodul muss vor com.ibm.ws.security.common.auth.module.MapPlatformSubject
und nach com.ibm.ws.security.server.lm.wsMapDefaultInboundLoginModule stehen.
- Wählen Sie das Kästchen neben dem neuen Zuordnungsmodul aus, und klicken Sie auf Nach oben. Wenn die Zuordnungsmodule die richtige Reihenfolge haben, klicken Sie auf Anwenden und
auf Speichern. Klicken Sie erneut auf Speichern. (In einer Zelle von WebSphere Application Server Network Deployment müssen Sie sicherstellen, dass Änderungen mit Knoten
synchronisieren ausgewählt ist.)
Nächste Schritte
Nehmen Sie diese Änderungen für alle Systemanmeldemodule vor, die Sie für Ihre Konfiguration von
WebSphere Application Server for z/OS benötigen.
Welche Systemanmeldemodule erforderlich sind, hängt vom verwendeten Authentifizierungsverfahren
(SWAM oder LTPA) ab.
Anmerkung: Falls die Eigenschaften des von Ihnen installierten SAF-ID-Zuordnungsmoduls konfigurierbar sind,
können Sie sie aktualisieren, indem Sie in der Anzeige "JAAS - Systemanmeldungen" der Administrationskonsole angepasste Eigenschaften erstellen. Nutzen Sie dieses Beispiel zum Aktualisieren der Eigenschaften,
wenn Sie das Modul "SampleSAFMapping" als Prototyp verwendet und die Klausel
else mit angepasster Zuordnungslogik aktualisiert haben. In diesem Fall müssen Sie die angepasste Eigenschaft "useWSPrincipleName" erstellen und für jede
betroffene JAAS-Konfiguration, die das modifizierte "SampleSAFMappingModule" verwendet, auf false setzen.
- Klicken Sie auf Sicherheit > Globale Sicherheit.
- Klicken Sie unter "Java Authentication and Authorization Service"
auf Systemanmeldungen > Anmeldemodulname.
- Klicken Sie unter "Weitere Eigenschaften" auf JAAS-Anmeldemodule > com.ibm.websphere.security.SampleSAFMappingModule.
- Klicken Sie unter "Weitere Eigenschaften" auf Angepasste Eigenschaften > Neu.
- Geben Sie useWSPrincipalName als Namen der angepassten Eigenschaft ein und false als Wert.
- Klicken Sie auf Anwenden, Speichern und dann erneut auf Speichern.
Wiederholen Sie diesen Prozess für alle Systemanmeldemodule, die das modifizierte
SampleSAFMappingModule verwenden.