[z/OS]

Correlación de un principal de Kerberos con una identidad SAF (System Authorization Facility) en z/OS

Si selecciona el botón de selección Utilizar el segmento KERB de un perfil de usuario SAF en el panel Kerberos de la consola de administración de WebSphere Application Server, debe tener sus usuarios del sistema operativo local correlacionados con un principal Kerberos específico.

Antes de empezar

Estas instrucciones presuponen que se utiliza z/OS Security Server (RACF). Si utiliza otro producto de seguridad, póngase en contacto con el distribuidor para obtener más información.

Para ver la página de la consola de administración de Kerberos que contiene el botón de selección Utilizar el segmento KERB de un perfil de usuario SAF, pulse Seguridad > Seguridad global. En Autenticación, pulse Configuración Kerberos.

El primer botón de selección del panel de la consola de administración de Kerberos bajo Correlacionar nombres de principales de Kerberos con identidades SAF, No utilizar perfiles SAF para correlacionar principales de Kerberos con identidades SAF, está seleccionado de forma predeterminada, pero no utilizará el segmento RACMAP o KERB para la correlación.

Nota: Este botón debe estar seleccionado si utiliza el registro del sistema operativo local en z/OS y el módulo de correlación incorporado para correlacionar principales Kerberos con identidades SAF.

Los dos últimos botones de selección bajo Correlacionar nombres de principales de Kerberos con identidades SAF, Utilizar el segmento KERB de un perfil de usuario SAF y Utilizar los perfiles RACMAP en el producto SAF para la correlación de identidad distribuida no deberían estar seleccionados si ya tienen un módulo de correlación JAAS.

Avoid trouble Avoid trouble: Si selecciona la opción para utilizar la correlación incorporada, no debe configurar otros módulos de inicio de sesión JAAS personalizados para correlacionar el principal de Kerberos con una identidad SAF.gotcha

Acerca de esta tarea

Hay dos maneras de correlacionar un principal de Kerberos con una identidad SAF, en función de si el principal de Kerberos es local o foráneo. Un principal Kerberos es local cuando existe en el KDC de z/OS del mismo sistema z/OS que la base de datos RACF.

Para obtener más información sobre cómo utilizar el mandato ALTUSER para configurar el KDC, consulte la publicación Z/OS V1R7.0 Integrated Security Services Network Authentication Service Administration.

No debe incluir el nombre de reino Kerberos al especificar el nombre principal de Kerberos local.

Correlación de un principal de Kerberos local:

  1. Por ejemplo, si desea correlacionar su usuario de RACF USER1 con el nombre principal de Kerberos local de kerberosUser1 (tenga en cuenta que el nombre principal de Kerberos es sensible a las mayúsculas y minúsculas), emita el siguiente mandato RACF:

    ALTUSER USER1 PASSWORD(security) NOEXPIRED KERB(KERBNAME(kerberosUser1))

  2. Si tiene previsto interoperar con un KDC de Windows, especifique que los tipos de cifrado de DES, DES3, DESD no reciben soporte emitiendo el siguiente mandato RACF RACF:
    ALTUSER USER1 PASSWORD(SECURITY) NOEXPIRED KERB(KERBNAME(kerberosUser1) ENCRYPT(DES NODES3 NODESD))
    Avoid trouble Avoid trouble: Debe asegurarse de que la lista de tipos de cifrado soportados especificado en el mandato ALTUSER es coherente con lo que se especifica en el archivo de configuración de kerberos krb5.conf. Por ejemplo, si en el archivo de configuración krb5.conf se especifica que sólo se da soporte a aes256-cts-hmac-sha1-96, el operando ENCRYPT debe tener todos los tipos de cifrado establecidos como no soportados, excepto AES256.gotcha
  3. Para verificar si el mandato anterior se ha realizado correctamente, emita el siguiente mandato RACF:

    LISTUSER USER1 KERB NORACF

Al final del resultado se muestra el siguiente ejemplo de información relacionada con Kerberos:
KERB INFORMATION                         
----------------                         
KERBNAME= kerberosUser1                  
KEY VERSION= 001                         
KEY ENCRYPTION TYPE= DES NODES3 NODESD   

El mandato ALTUSER debe emitirse para cada usuario de RACF que necesite iniciar sesión en WebSphere Application Server utilizando Kerberos.

Nota: El nombre principal no se convierte a mayúsculas y el nombre de reino no se incluye. Si la opción de contraseña con mayúsculas y minúsculas mezcladas no está habilitada, el mandato ALTUSER pasa la contraseña a mayúsculas. Si esta opción no está en vigor, debe asegurarse de utilizar las mayúsculas al solicitar un tiquet inicial de Kerberos. Si desea más información sobre esta opción, consulte Distinción entre mayúsculas y minúsculas en la contraseña cuando se utiliza un registro del sistema operativo local. Debe cambiar la contraseña del usuario para crear la clave secreta de Kerberos.

Correlación de un principal de Kerberos foráneo:

Puede correlacionar cada principal de un reino foráneo con su propio ID de usuario en RACF, o puede correlacionar todos los principales de un reino foráneo con el mismo ID de usuario en RACF. Para correlacionar un principal de Kerberos foráneo con un usuario RACF, defina un perfil de recurso general en la clase KERBLINK. Cada correlación se define y modifica mediante los mandatos RDEFINE y RALTER.

Nota: Nota: los caracteres del nombre del perfil de la clase KERBLINK no se convierten a mayúsculas, por lo que debe asegurarse de escribir la parte del reino del nombre del perfil en mayúsculas y el nombre principal foráneo en mayúsculas o minúsculas como corresponda.

Si desea más información sobre el uso de la clase KERBLINK, consulte la publicación z/OS Security Server RACF Security Administrator's Guide.

  1. Por ejemplo, si desea correlacionar el nombre principal de Kerberos foráneo foreignKerberosUser2 del reino foráneo FOREIGN.REALM.IBM.COM con el usuario RACF USER2, emita el siguiente mandato RACF:

    RDEFINE KERBLINK /.../FOREIGN.REALM.IBM.COM/foreignKerberosUser2 APPLDATA('USER2')

  2. Para comprobar que el mandato anterior se ha realizado correctamente, emita el siguiente mandato RACF:

    RLIST KERBLINK /.../FOREIGN.REALM.IBM.COM/foreignKerberosUser2

El ID de RACF correlacionado se muestra en el campo APPLICATION DATA como se muestra en la salida de ejemplo siguiente del mandato RLIST:
CLASS      NAME
-----      ----
KERBLINK   /.../FOREIGN.REALM.IBM.COM/foreignKerberosUser2

LEVEL  OWNER      UNIVERSAL ACCESS  YOUR ACCESS  WARNING
-----  --------   ----------------  -----------  -------
00    IBMUSER         NONE              ALTER    NO

INSTALLATION DATA
-----------------
NONE

APPLICATION DATA
----------------
USER2

AUDITING
--------
FAILURES(READ)

NOTIFY
------
NO USER TO BE NOTIFIED

Icon that indicates the type of topic Task topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_kerb_zmap
File name: tsec_kerb_zmap.html