![[z/OS]](../images/ngzos.gif)
Kerberos-Principal unter z/OS einer SAF-ID zuordnen
Wenn Sie das Optionsfeld KERB-Segment eines SAF-Benutzerprofils verwenden in der Kerberos-Anzeige der Administrationskonsole von WebSphere Application Server auswählen, müssen die Benutzer des lokalen Betriebssystems ein bestimmter Kerberos-Principal zugeordnet sein.
Vorbereitende Schritte
Zum Anzeigen der Kerberos-Administrationskonsolenseite, die das Optionsfeld KERB-Segment eines SAF-Benutzerprofils verwenden enthält, klicken Sie auf Sicherheit > Globale Sicherheit. Klicken Sie unter "Authentifizierung" auf Kerberos-Konfiguration.
Das erste Optionsfeld auf der Kerberos-Administrationskonsolenanzeige unter "Kerberos-Principal-Namen SAF-Identitäten zuordnen", das die Bezeichnung SAF-Profile nicht für die Zuordnung von Kerberos-Principals zu SAF-Identitäten verwenden hat, ist standardmäßig ausgewählt, verwendet aber weder das RACMAP- noch das KERB-Segment für die Zuordnung.
Die letzten beiden Optionsfelder unter "Kerberos-Principal-Namen SAF-Identitäten zuordnen", die die Bezeichnungen KERB-Segment eines SAF-Benutzerprofils verwenden und RACMAP-Profile im SAF-Produkt für verteilte Identitätszuordnung verwenden haben, dürfen nicht ausgewählt werden, wenn sie bereits ein JAAS-Zuordnungsmodul haben.

Informationen zu diesem Vorgang
Es gibt zwei Möglichkeiten, einen Kerberos-Principal einer SAF-Identität zuzuordnen, je nachdem, ob es sich um einen lokalen oder externen Kerberos-Principal handelt. Ein Kerberos-Principal ist lokal, wenn er sich im z/OS-Key-Distribution-Center desselben z/OS-Systems befindet wie die RACF-Datenbank.
Weitere Informationen zur Verwendung des Befehls ALTUSER zum Konfigurieren Ihres KDC finden Sie in der Veröffentlichung Z/OS V1R7.0 Integrated Security Services Network Authentication Service Administration.
Wenn Sie den Kerberos-Principal-Namen angeben, dürfen Sie nicht den Namen des Kerberos-Realm aufnehmen.
Lokalen Kerberos-Principal zuordnen:
- Wenn Sie Ihren RACF-Benutzer USER1 dem Namen des lokalen Kerberos-Principals "kerberosUser1" (beim Namen des Kerberos-Principals
muss die Groß-/Kleinschreibung beachtet werden) zuordnen möchten, müssen Sie den folgenden RACF-Befehl absetzen:
ALTUSER USER1 PASSWORD(security) NOEXPIRED KERB(KERBNAME(kerberosUser1))
- Wenn Sie die Interoperation mit einem Windows-KDC planen, geben Sie an, dass die
Verschlüsselungsarten DES, DES3, DESD nicht unterstützt werden. Setzen Sie dazu den folgenden
RACF-Befehl ab: ALTUSER USER1 PASSWORD(SECURITY) NOEXPIRED KERB(KERBNAME(kerberosUser1) ENCRYPT(DES NODES3 NODESD))
Fehler vermeiden: Sie müssen sicherstellen, dass die Liste der unterstützten Verschlüsselungstypen, die mit dem Befehl ALTUSER angegeben wird, mit den Angaben konsistent ist, die in der Kerberos-Konfigurationsdatei "krb5.conf" angegeben sind. Wenn in der Konfigurationsdatei "krb5.conf" beispielsweise angegeben ist, dass nur aes256-cts-hmac-sha1-96 unterstützt wird, muss im Operanden ENCRYPT alle Verschlüsseltypen mit Ausnahme von AES256 als nicht unterstützt gekennzeichnet sein.gotcha
- Prüfen Sie, ob der vorherige Befehl erfolgreich ausgeführt wurde. Setzen Sie dazu den folgenden
RACF-Befehl ab:
LISTUSER USER1 KERB NORACF
KERB INFORMATION
----------------
KERBNAME= kerberosUser1
KEY VERSION= 001
KEY ENCRYPTION TYPE= DES NODES3 NODESD
Der Befehl ALTUSER sollte für jeden RACF-Benutzer abgesetzt werden, der sich über Kerberos bei WebSphere Application Server anmelden muss.
Externen Kerberos-Principal zuordnen:
Sie können jeden Principal in einem externen Realm seiner eigenen Benutzer-ID in RACF zuordnen oder Sie können alle Principals in einem externen Realm derselben Benutzer-ID in RACF zuordnen. Definieren Sie ein allgemeines Ressourcenprofil in der Klasse KERBLINK, um einen externen Kerberos-Principal einem RACF-Benutzer zuzuordnen. Jede Zuordnung wird mit den Befehlen RDEFINE und RALTER definiert und geändert.
Weitere Informationen zur Verwendung der Klasse KERBLINK finden Sie in der Veröffentlichung z/OS Security Server RACF Security Administrator's Guide.
- Angenommen, Sie möchten den Namen des externen Kerberos-Principals "foreignKerberosUser2" des externen Realms FOREIGN.REALM.IBM.COM
dem RACF-Benutzer USER2 zuordnen. Setzen Sie dazu den folgenden RACF-Befehl ab:
RDEFINE KERBLINK /.../FOREIGN.REALM.IBM.COM/foreignKerberosUser2 APPLDATA('USER2')
- Prüfen Sie, ob der vorherige Befehl erfolgreich ausgeführt wurde. Setzen Sie dazu den folgenden
RACF-Befehl ab:
RLIST KERBLINK /.../FOREIGN.REALM.IBM.COM/foreignKerberosUser2
CLASS NAME
----- ----
KERBLINK /.../FOREIGN.REALM.IBM.COM/foreignKerberosUser2
LEVEL OWNER UNIVERSAL ACCESS YOUR ACCESS WARNING
----- -------- ---------------- ----------- -------
00 IBMUSER NONE ALTER NO
INSTALLATION DATA
-----------------
NONE
APPLICATION DATA
----------------
USER2
AUDITING
--------
FAILURES(READ)
NOTIFY
------
NO USER TO BE NOTIFIED