[z/OS]

Instalación y configuración de un módulo de correlación de SAF (System Authorization Facility) personalizado para WebSphere Application Server.

Utilice esta tarea para añadir un módulo de correlación SAF (System Authorization Facility) a uno de los módulos de inicio de sesión del sistema utilizando la consola administrativa.

Antes de empezar

Para utilizar un módulo de inicio de sesión conectable para realizar la correlación de identidades de Java™ Platform, Enterprise Edition (Java EE) con los usuarios de Resource Access Control Facility (RACF), debe configurar un módulo de correlación conectable, seguido de la configuración de un módulo proporcionado por WebSphere Application Server para z/OS, com.ibm.ws.security.common.auth.module.MapPlatformSubject, en las configuraciones correctas de inicio de sesión del sistema JAAS (Java Authentication and Authorization Service). Si se ha configurado Autorización SAF o Sincronización con la hebra de OS, este enfoque permite una instalación para configurar el registro activo de WebSphere Application Server como el registro autónomo de LDAP (Lightweight Directory Access Protocol) o un registro personalizado autónomo.

WebSphere Application Server no soporta un registro del sistema operativo local en ninguna plataforma bajo la funcionalidad del repositorio federado. Por lo tanto, un registro RACF gestionado con SAF no está soportado bajo la funcionalidad del repositorio federado.

Update: Un registro RACF gestionado por SAF está soportado bajo la funcionalidad del repositorio federado. En releases anteriores, no estaba soportado. Para configurar el módulo de correlación SAF para que utilice repositorios federados con un adaptador de registro de usuario SAF para la autorización SAF, consulte Configuración de un módulo de correlación de SAF (System Authorization Facility) personalizado para repositorios federados.

Antes de continuar, asegúrese de que sabe cómo escribir un módulo de correlaciones para obtener una identidad SAF. Para obtener más información, consulte Escritura de un módulo de correlación SAF (System Authorization Facility) personalizado con un sistema operativo no local. Si utiliza otro distinto al del ejemplo, debe crear las clases relevantes e instalarlas en el directorio <WAS_HOME>/classes para cada nodo de la célula, incluido el nodo de gestor de despliegue de una célula. Si está habilitada la seguridad de Java 2, asegúrese de que el archivo server.policy se ha actualizado para proporcionar los permisos adecuados.

Nota: Si está utilizando la característica de correlación de identidad distribuida SAF, no es necesario que configure un módulo de correlación.

Acerca de esta tarea

El módulo de correlación SAF personalizado (com.ibm.websphere.security.SampleSAFMappingModule o un módulo de correlación escrito por el cliente) se debe añadir a cada una de las entradas siguientes de módulo de inicio de sesión del sistema y se debe cambiar manualmente la penúltima posición en el orden de los módulos de inicio de sesión del sistema como se indica a continuación:
  • Para el mecanismo SWAM (Simple WebSphere Authentication Mechanism), añada la entrada al módulo de inicio de sesión SWAM.
    Nota: SWAM es una característica en desuso del WebSphere Application Server Versión 9.0 y se eliminará en un release posterior.
  • Para LTPA (Lightweight Third Party Authentication), añada la entrada a los módulos de inicio de sesión WEB_INBOUND, RMI_INBOUND y DEFAULT.

    LTPA es el mecanismo de autenticación por omisión para WebSphere Application Server Versión 9.0.

Nota: Para la configuración básica, si selecciona SWAM como mecanismo de autenticación, actualice la entrada SWAM. No obstante, si tiene previsto utilizar LTPA como mecanismo de autenticación, configure las cuatro entradas de módulo de inicio de sesión del sistema. Para una configuración de WebSphere Application Server, Network Deployment, sólo tiene que configurar las entradas de configuración del mecanismo de autenticación LTPA.

Procedimiento

  1. Configure el módulo de correlación personalizado:
    1. Pulse Seguridad > Seguridad global.
    2. En Java Authentication and Authorization Service, pulse Inicios de sesión del sistema > nombre_módulo_inicio_sesión.
    3. En Propiedades adicionales, pulse Módulos de inicio de sesión JAAS > Nuevo.
    4. Entre el nombre de clase del módulo de inicio de sesión personalizado en el archivo Nombre de clase de módulo. (Utilice com.ibm.websphere.security.SampleSAFMappingModule para el módulo de ejemplo proporcionado).
    5. Pulse Aplicar para añadir el nuevo módulo a la lista de módulos de inicio de sesión.
  2. Configure el módulo de inicio de sesión com.ibm.ws.security.common.auth.module.MapPlatformSubject proporcionado:
    1. Pulse Seguridad > Seguridad global.
    2. En Java Authentication and Authorization Service, pulse Inicios de sesión del sistema > nombre_módulo_inicio_sesión
    3. En Propiedades adicionales, pulse Módulos de inicio de sesión JAAS > Nuevo.
    4. Especifique el nombre de clase: com.ibm.ws.security.common.auth.module.MapPlatformSubject.
    5. Pulse Aplicar para añadir el nuevo módulo a la lista de módulos de inicio de sesión.
  3. Pulse Seguridad > Seguridad global.
  4. En Autenticación, expanda Java Authentication and Authorization Service y pulse Inicios de sesión del sistema > nombre_módulo_inicio_sesión.
  5. En Propiedades adicionales, pulse Módulos de inicio de sesión JAAS > Establecer orden y verifique que el nuevo módulo de correlación esté antes de com.ibm.ws.security.common.auth.module.MapPlatformSubject y después de com.ibm.ws.security.server.lm.wsMapDefaultInboundLoginModule.

    El nuevo módulo de correlación debe ir antes de com.ibm.ws.security.common.auth.module.MapPlatformSubject y después de com.ibm.ws.security.server.lm.wsMapDefaultInboundLoginModule.

  6. Seleccione el recuadro situado al lado del nuevo módulo de correlación y, a continuación, pulse Subir. Cuando los módulos de correlación estén en el orden correcto, pulse Aplicar, Guardar y Guardar (asegúrese de seleccionar Sincronizar cambios con nodos si está trabajando con una célula de WebSphere Application Server, Network Deployment).

Qué hacer a continuación

Realice estos cambios para cada uno de los módulos de inicio de sesión del sistema que necesite para la configuración de WebSphere Application Server para z/OS. La elección de qué módulos de inicio de sesión del sistema se necesitan depende del mecanismo de autenticación (SWAM o LTPA).

Nota: Si el módulo de correlación de identidades SAF que ha instalado tiene propiedades configurables, puede actualizarlas creando propiedades personalizadas en el panel Inicios de sesión del sistema JAAS de la consola administrativa. Utilice este ejemplo para actualizar las propiedades si ha utilizado el módulo SampleSAFMapping como prototipo y ha actualizado la cláusula else para proporcionar la lógica de correlación personalizada. En este caso, debe crear la propiedad personalizada useWSPrincipleName y establecerla en false para cada configuración de inicio de sesión JAAS afectada que utilice el SampleSAFMappingModule modificado.
  1. Pulse Seguridad > Seguridad global.
  2. En Java Authentication and Authorization Service, pulse Inicios de sesión del sistema > nombre_módulo_inicio_sesión.
  3. En Propiedades adicionales, pulse Módulos de inicio de sesión JAAS > com.ibm.websphere.security.SampleSAFMappingModule.
  4. En Propiedades adicionales, pulse Propiedades personalizadas > Nueva.
  5. Entre el nombre de la propiedad personalizada useWSPrincipalName y el valor false.
  6. Pulse Aplicar, Guardar y Guardar.

Repita este proceso para cada uno de los módulos de inicio de sesión del sistema que utilicen el SampleSAFMappingModule modificado.


Icon that indicates the type of topic Task topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_installsafmapmods
File name: tsec_installsafmapmods.html