[z/OS]

Correlacione el principal de un registro con un ID de usuario SAF utilizando un módulo de inicio de sesión JAAS (Java Authentication and Authorization Services)

Puede utilizar un módulo de inicio de sesión JAAS (Java™ Authentication and Authorization Services) para correlacionar un principal de registro con un ID de usuario de SAF (System Authorization Facility).

Nota: Si utiliza la característica de correlación de identidad distribuida SAF, no es necesario que configure un módulo de correlación.

El siguiente conjunto de atributos bien definidos que se utilizan en la correlación de WebSphere Application Server se definen en la clase com.ibm.wsspi.security.token.AttributeNameConstants disponible en el archivo sas.jar:

com.ibm.wsspi.security.token.AttributeNameConstants.ZOS_USERID

Utilice este atributo para establecer el valor del ID de usuario de MVS utilizado cuando se realiza una operación que exige un ID de usuario de SAF de z/OS. Si no se especifica ningún valor, WebSphere Application Server utiliza el usuario autenticado para establecer un ID de usuario de SAF. Este ID de usuario de SAF debe ser un ID de usuario de MVS válido.

com.ibm.wsspi.security.token.AttributeNameConstants.ZOS_AUDIT_STRING

Utilice este atributo para indicar que la serie especificada se coloca en la propiedad X500Name al crear un elemento de entorno de control de acceso (ACEE) de RACF (Resource Access Control Facility).

Este atributo asocia una serie de auditoría con un usuario de SAF, que aparece en un registro de SMF (System Management Facility) cuando se lleva a cabo una de las acciones siguientes: Este campo da cabida a un máximo de 223 caracteres. Si el valor especificado supera los 223 caracteres, sólo se utilizan los 223 primeros. Si se omite este valor, no se añadirán datos de auditoría al crear un principal. Los datos de auditoría grabados en este campo tienen como prefijo la serie de registro de auditoría de SMF "ID de usuario correlacionado de WebSphere".

com.ibm.wsspi.security.token.AttributeName.Constants.CALLER_PRINCIPAL_CLASS

Utilice este campo opcional para indicar la clase de principal (en un sujeto JAAS) que se devuelve al utilizar las API getCallerPrincipal y getUserPrincipal.

Este principal se puede crear mediante uno de los mecanismos siguientes:
  • Tiempo de ejecución de WebSphere Application Server
  • Módulo de inicio de sesión JAAS

El valor predeterminado de este campo es com.ibm.websphere.security.auth.WSPrincipal. La utilización de este valor predeterminado devuelve el nombre de principal de WebSphere Application Server en el registro configurado de WebSphere Application Server.

Para devolver un principal de SAF correlacionado, especifique com.ibm.ws.security.zos.Principal. Si se especifica un valor pero ningún principal coincide con el valor CALLER_PRINCIPAL_CLASS especificado, el valor de retorno indica un usuario no autenticado. La especificación de getUserInRole devuelve un valor nulo y la especificación de getCallerPrincipal() devuelve una serie que indica que el usuario no está autenticado.

Nota: Algunas identidades de red no se procesan utilizando el módulo de correlación proporcionado:
Identidad de servidor
Esta identidad se correlaciona siempre con el ID de usuario del proceso y se asigna con el perfil STARTED.
Identidad SAF correspondiente al usuario UNAUTHENTICATED
La identidad SAF correspondiente al usuario UNAUTHENTICATED significa que no hay ninguna identidad de red. Este valor se configura utilizando la Herramienta de gestión de perfiles de WebSphere z/OS o el mandato zpmt y se puede modificar utilizando la consola administrativa. Se recomienda crear la identidad SAF de usuarios no autenticados con el atributo RESTRICTED.

Icon that indicates the type of topic Reference topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rsec_jaaslogmod
File name: rsec_jaaslogmod.html