Utilice esta tarea para añadir un módulo de correlación SAF (System Authorization Facility) a uno de los módulos de inicio de sesión del sistema utilizando la consola administrativa.
Antes de empezar
Para utilizar un módulo de inicio de sesión conectable para realizar la correlación de identidades
de Java™ Platform, Enterprise Edition
(Java EE) con los usuarios de Resource Access Control Facility
(RACF), debe configurar un módulo de correlación conectable, seguido
de la configuración de un módulo proporcionado por
WebSphere Application Server para z/OS,
com.ibm.ws.security.common.auth.module.MapPlatformSubject, en las configuraciones correctas de inicio de
sesión del sistema JAAS (Java Authentication and Authorization
Service). Si se ha configurado Autorización SAF o Sincronización con la hebra de OS, este enfoque permite una
instalación para configurar el registro activo de WebSphere Application Server
como el registro autónomo de LDAP (Lightweight Directory Access Protocol) o un registro personalizado autónomo.
WebSphere Application Server no soporta un registro del sistema operativo local en
ninguna plataforma bajo la
funcionalidad del repositorio federado. Por lo tanto, un registro RACF gestionado con SAF no
está soportado bajo la funcionalidad del repositorio federado.
Update: Un registro RACF gestionado por SAF está soportado
bajo la funcionalidad del repositorio federado. En releases anteriores, no estaba soportado.
Para configurar el módulo de correlación SAF para que utilice repositorios federados con un adaptador de registro de usuario SAF para la autorización SAF, consulte Configuración de un módulo de correlación de SAF (System Authorization Facility) personalizado para repositorios federados.
Antes de continuar, asegúrese de que sabe cómo escribir un módulo de correlaciones para obtener una identidad SAF. Para obtener más información, consulte Escritura de un módulo de correlación SAF (System Authorization Facility) personalizado con un sistema operativo no local. Si utiliza otro distinto al del ejemplo, debe crear las clases relevantes e instalarlas en el directorio <WAS_HOME>/classes
para cada nodo de la célula, incluido el nodo de gestor de despliegue de una célula. Si está habilitada la seguridad de Java 2, asegúrese de que el archivo
server.policy se ha actualizado para proporcionar los permisos
adecuados.
Nota: Si está utilizando la característica de correlación de identidad distribuida SAF, no
es necesario que configure un módulo de correlación.
Acerca de esta tarea
El módulo de correlación SAF personalizado (com.ibm.websphere.security.SampleSAFMappingModule o un módulo de correlación escrito por el cliente) se debe añadir a cada una de las entradas siguientes de módulo de inicio de sesión del sistema y se debe cambiar manualmente la penúltima posición en el orden de los módulos de inicio de sesión del sistema como se indica a continuación:
- Para el mecanismo SWAM (Simple
WebSphere
Authentication Mechanism), añada la entrada al módulo de inicio de
sesión SWAM.
Nota: SWAM es una característica en desuso del WebSphere Application Server Versión 9.0 y se eliminará en un release
posterior.
- Para LTPA (Lightweight
Third Party Authentication), añada la entrada a los módulos de inicio de sesión WEB_INBOUND, RMI_INBOUND
y DEFAULT.
LTPA es el mecanismo de autenticación por omisión para WebSphere Application Server
Versión 9.0.
Nota: Para la configuración básica, si selecciona SWAM como mecanismo de autenticación, actualice la entrada SWAM. No obstante, si tiene
previsto utilizar LTPA como mecanismo de autenticación, configure las cuatro
entradas de módulo de inicio de sesión del sistema. Para una configuración de WebSphere Application Server, Network Deployment, sólo tiene
que configurar las entradas de configuración del mecanismo de autenticación LTPA.
Procedimiento
- Configure el módulo de correlación personalizado:
- Pulse Seguridad > Seguridad global.
- En
Java
Authentication and Authorization Service, pulse Inicios de sesión del
sistema > nombre_módulo_inicio_sesión.
- En Propiedades adicionales, pulse Módulos de inicio de sesión JAAS > Nuevo.
- Entre el nombre de clase del módulo de inicio de sesión personalizado en el
archivo Nombre de clase de módulo. (Utilice
com.ibm.websphere.security.SampleSAFMappingModule para el módulo de ejemplo
proporcionado).
- Pulse Aplicar para añadir el nuevo módulo a la lista de módulos de inicio
de sesión.
- Configure el módulo de inicio de sesión com.ibm.ws.security.common.auth.module.MapPlatformSubject proporcionado:
- Pulse Seguridad > Seguridad global.
- En Java Authentication and Authorization
Service, pulse Inicios de sesión del sistema >
nombre_módulo_inicio_sesión
- En Propiedades adicionales, pulse Módulos de inicio de sesión JAAS > Nuevo.
- Especifique el nombre de clase: com.ibm.ws.security.common.auth.module.MapPlatformSubject.
- Pulse Aplicar para añadir el nuevo módulo a la lista de módulos de inicio
de sesión.
- Pulse Seguridad > Seguridad global.
- En Autenticación, expanda
Java
Authentication and Authorization Service y pulse Inicios de
sesión del sistema > nombre_módulo_inicio_sesión.
- En Propiedades adicionales, pulse Módulos de inicio de sesión JAAS
> Establecer orden y verifique que el nuevo módulo de correlación esté antes de
com.ibm.ws.security.common.auth.module.MapPlatformSubject y después de
com.ibm.ws.security.server.lm.wsMapDefaultInboundLoginModule.
El nuevo módulo de correlación debe ir antes de com.ibm.ws.security.common.auth.module.MapPlatformSubject y después de com.ibm.ws.security.server.lm.wsMapDefaultInboundLoginModule.
- Seleccione el recuadro situado al lado del nuevo módulo de correlación y, a
continuación, pulse Subir. Cuando los módulos de correlación estén en el orden correcto, pulse
Aplicar, Guardar y Guardar (asegúrese de seleccionar Sincronizar cambios con
nodos si está trabajando con una célula de WebSphere Application Server, Network Deployment).
Qué hacer a continuación
Realice estos cambios para cada uno de los módulos de inicio de sesión del sistema que necesite
para la configuración de WebSphere Application Server para
z/OS.
La elección de qué módulos de inicio de sesión del sistema se necesitan
depende del mecanismo de autenticación (SWAM o LTPA).
Nota: Si el módulo de correlación de identidades SAF que ha instalado
tiene propiedades configurables, puede actualizarlas creando propiedades personalizadas en el panel
Inicios de sesión del sistema JAAS de la consola administrativa. Utilice este
ejemplo para actualizar las propiedades si ha utilizado el módulo
SampleSAFMapping como prototipo y ha actualizado la cláusula else
para proporcionar la lógica de correlación personalizada. En este caso, debe crear la propiedad personalizada useWSPrincipleName y establecerla en false para cada configuración de inicio de sesión JAAS afectada que utilice el SampleSAFMappingModule modificado.
- Pulse Seguridad > Seguridad global.
- En
Java
Authentication and Authorization Service, pulse Inicios de sesión del
sistema > nombre_módulo_inicio_sesión.
- En Propiedades adicionales, pulse Módulos de inicio de sesión JAAS >
com.ibm.websphere.security.SampleSAFMappingModule.
- En Propiedades adicionales, pulse Propiedades personalizadas > Nueva.
- Entre el nombre de la propiedad personalizada useWSPrincipalName y el
valor false.
- Pulse Aplicar, Guardar y Guardar.
Repita este proceso para cada uno de los módulos de inicio de sesión del sistema
que utilicen el SampleSAFMappingModule modificado.