[z/OS]

Configuración de un registro de usuarios LDAP (Lightweight Directory Access Protocol) utilizando RACF (Resource Access Control Facility) basado en z/OS

Puede proteger el servidor de aplicaciones configurando LDAP (Lightweight Access Directory Protocol) en z/OS con un programa de fondo RACF (Resource Access Control Facility). Esto integra los valores de seguridad z/OS nativos definidos en RACF con el entorno de seguridad de WebSphere Application Server.

Antes de empezar

Cuando se implementan los pasos siguientes existen estos requisitos:
  • Debe tener un servidor LDAP configurado con RACF basado en z/OS. Consulte la biblioteca de Internet de z/OS para obtener más información sobre esta configuración.
  • Debe utilizar LDAP en z/OS v1r3 o superior. En v1r3 o v1r4, debe aplicar APAR 0A03857 - PTF UA06622 antes de realizar los pasos siguientes.
  • El usuario se registra en la seguridad de WebSphere con el ID de usuario de RACF y se autentica con LDAP utilizando una contraseña y un nombre distinguido, el DN de enlace. El DN de enlace incorpora el ID de usuario de RACF y el sufijo SDBM en el archivo de configuración del servidor LDAP. Si el usuario RACF es johndoe y el valor del sufijo de la sección SDBM del archivo de configuración LDAP es cn=myRACF, el DN de enlace es: racfid=johndoe, profiletype=user, cn=myRACF.
  • Cada grupo RACF, incluidos los grupos de seguridad WebSphere a los que pertenece un usuario se almacenan en un atributo racfconnectgroupname de varios valores en la entrada LDAP del usuario. El atributo se devuelve cuando se realiza una búsqueda base o de subárbol con el DN de usuario como DN de enlace.
  • El DN de enlace debe representar a un usuario RACF con privilegios especiales o de auditor. Para obtener más información acerca de la autoridad de RACF necesaria, consulte el manual z/OS Security Server RACF Command Language Reference correspondiente a su versión de z/OS en la biblioteca de Internet de z/OS.
  • Debe definir el atributo racfconnectgroupname en el esquema predeterminado LDAP.
    Recuerde: Si ha definido TBDM en el archivo de configuración del servidor LDAP además de SDBM, el esquema de TDBM es el esquema predeterminado del servidor LDAP. Si el esquema TDBM no incluye el atributo racfconnectgroupname, suprima TDBM del archivo de configuración LDAP o añada el esquema al archivo schema.user.ldif y al archivo schema.IBM.ldif en el esquema TDBM.

Procedimiento

  1. Pulse Seguridad > Seguridad global.
  2. En Repositorio de cuentas de usuario, seleccione Registro LDAP autónomo y, a continuación, pulse Configurar.
  3. En el tipo de servidor LDAP, pulse Personalizado.
  4. Complete los campos para el entorno LDAP. Para obtener más información, consulte Configuración de los registros de usuario de LDAP (Lightweight Directory Access Protocol). Los usuarios y grupos deben estar en el subárbol del DN base.
  5. Asegúrese de que la opción Ignorar mayúsculas para autorización está seleccionada. Los nombres de usuario RACF y los nombres de grupo no son sensibles a las mayúsculas y minúsculas.
  6. Pulse Aplicar y Guardar.
  7. En Propiedades adicionales, pulse Valores del registro de usuario LDAP (Advanced Lightweight Directory Access Protocol).
  8. Cambie el filtro de usuario y el filtro de grupo por racfid=%v.
  9. Cambie la correlación de ID de usuario y la correlación de ID de grupo por*:racfid.
  10. Cambie la correlación de ID de miembro de grupo por racfconnectgroupname:racfgroupuserids.
  11. Pulse Aceptar y pulse Guardar.
  12. Asigne el rol administrativo a un usuario. Para obtener más información, consulte el apartado Autorización del acceso a roles administrativos.
  13. Reinicie WebSphere Application Server.

Resultados

El entorno ahora está protegido por LDAP en z/OS con un programa de fondo RACF.

Icon that indicates the type of topic Task topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_config_racf
File name: tsec_config_racf.html