![[z/OS]](../images/ngzos.gif)
Configuration pour sécuriser le registre d'utilisateurs du protocole LDAP à l'aide de la fonction RACF (Resource Access Control Facility) basée sur z/OS
Vous pouvez sécuriser le serveur d'applications en configurant le protocole LDAP (Lightweight Access Directory Protocol) sur z/OS avec la fonction Resource Access Control Facility (RACF) existante. Cette fonction intègre les paramètres de sécurité z/OS natifs définis dans RACF avec l'environnement de sécurité de WebSphere Application Server.
Avant de commencer
Les exigences suivantes doivent être respectées lors de l'implémentation
de cette procédure :
- Vous devez posséder un serveur LDAP configuré avec un RACF basé sur z/OS. Pour plus d'informations sur cette configuration, accédez au site Bibliothèque Internet z/OS..
- Vous devez utiliser LDAP sur z/OS v1r3 ou une version plus récente. Pour v1r3 ou v1r4, vous devez appliquer APAR 0A03857 - PTF UA06622 avant de suivre cette procédure.
- L'utilisateur se connecte avec la sécurité WebSphere avec un ID utilisateurRACF et est authentifié avec la LDAP en utilisant un mot de passe et un Nom distinctif, le nom distinctif de liaison. Le nom distinctif de liaison incorpore l'ID utilisateur RACF et le suffixe SDBM dans le fichier de configuration du serveur LDAP. Si l'utilisateur RACF est johndoe, et la valeur du suffixe dans la section SDBM dans le fichier de configuration LDAP est cn=myRACF, alors le nom distinctif de liaison est :racfid=johndoe, profiletype=user, cn=myRACF.
- Chaque groupe RACF, notamment les groupes de sécuritéWebSphere, un utilisateur appartenant à ces groupes est stocké dans un attribut multi-valeur racfconnectgroupname dans l'entrée LDAP pour l'utilisateur. L'attribut est renvoyé lorsqu'une recherche de sous-arborescence ou de base est effectuée avec le nom distinctif de l'utilisateur en tant que nom distinctif de base.
- Le nom distinctif de liaison doit représenter un utilisateur RACF avec des privilèges Special ou Auditeur. Pour plus d'informations sur l'autorité RACF demandée, voir la Référence sur le langage de commande RACF du serveur de sécurité z/OS pour votre version z/OS dans la Bibliothèque Internet z/OS Internet Library.
- Vous devez définir l'attribut racfconnectgroupname dans le schéma par défaut LDAP. A faire : Si TBDM est défini dans le fichier de configuration du serveur LDAP en plus de SDBM, le schéma dans TDBM est le schéma par défaut pour le serveur LDAP. Si le schéma TDBM n'inclut pas l'attribut racfconnectgroupname, retirez TDBM du fichier de configuration du serveur LDAP ou ajoutez le schéma dans les fichiers schema.user.ldif et schema.IBM.ldif dans le schéma TDBM.
Procédure
- Cliquez surSécurité > Sécurité globale.
- Sous Référentiel du compte d'utilisateur, sélectionnez Registre LDAP autonome et cliquez sur Configurer.
- Sous Type de serveur LDAP, cliquez sur Personnalisé.
- Complétez les zones pour votre environnement LDAP. Pour plus d'informations, voir Configuration des registres d'utilisateurs LDAP (Lightweight Directory Access Protocol). Les utilisateurs et les groupes doivent être dans le sous-arbre du nom distinctif de base.
- Assurez-vous que Ignorer maj/min pour l'autorisation est coché. Les noms d'utilisateurs et les noms de groupes RACF ne sont pas sensibles à la casse.
- Cliquez sur Valider puis sur Sauvegarder.
- Dans le menu Propriétés supplémentaires, cliquez sur Paramètres avancés de registres d'utilisateurs LDAP (Lightweight Directory Access Protocol).
- Remplacez la valeur Filtre d'utilisateurs et Filtre de groupes par racfid=%v.
- Remplacez la valeur Mappe des ID utilisateur et Mappe des ID groupe par *:racfid.
- Remplacez la valeur Mappe d'ID membre de groupe par racfconnectgroupname:racfgroupuserids.
- Cliquez sur Valider puis sur Sauvegarder.
- Attribuez le rôle administratif à un utilisateur. Pour plus d'informations, voir Autorisation de l'accès pour des rôles d'administration.
- Redémarrez WebSphere Application Server.