[z/OS]

Installation et configuration d'un module de mappage SAF (System Authorization Facility) pour WebSphere Application Server

Cette tâche permet d'ajouter un module de mappage SAF (System Authorization Facility) personnalisé à l'un des modules de connexion système à l'aide de la console d'administration.

Avant de commencer

Pour utiliser un module de connexion connectable afin de mapper une identité Java™ EE (Java Platform, Enterprise Edition) sur un utilisateur RACF (Resource Access Control Facility) vous devez configurer un module de mappage connectable, puis WebSphere Application Server pour le module fourni par z/OS, com.ibm.ws.security.common.auth.module.MapPlatformSubject, dans les configuration de connexion système JAAS (Java Authentication and Authorization Service). Lorsque l'option Autorisation SAF ou Synchronisation avec l'unité d'exécution du système d'exploitation est configurée, cette méthode permet à l'installation de configurer le registre WebSphere Application Server comme registre LDAP (Lightweight Directory Access Protocol) autonome ou comme registre personnalisé autonome.

WebSphere Application Server ne prend pas en charge les registres de système d'exploitation locaux sur les plateformes avec la fonctionnalité de référentiel fédéré. Par conséquent, les registres RACF gérés par SAF ne sont pas pris en charge sous la fonctionnalité de référentiel fédéré.

Mettre à jour : Les registres RACF gérés par SAF sont pris en charge sous la fonctionnalité de référentiel fédéré. Dans les versions précédentes, ils n'étaient pas pris en charge. Pour configurer un module de mappage SAF afin d'utiliser des référentiels fédérés avec un adaptateur de registre d'utilisateurs SAF pour l'autorisation SAF, reportez-vous à la rubrique Configuration d'un module de mappage SAF (System Authorization Facility) personnalisé pour les référentiels fédérés.

Avant de continuer, assurez-vous de savoir comment écrire un module de mappage pour obtenir une identité SAF. Pour plus d'informations, voir Ecriture d'un module de mappage SAF (System Authorization Facility) personnalisé avec un système d'exploitation non local. Si vous utilisez autre chose que le modèle, vous devez créer les classes correspondantes et les installer dans le répertoire <WAS_HOME>/classes pour chaque noeud de la cellule, y compris le noeud de gestionnaire de déploiement de la cellule. Si la sécurité Java 2 est activée, veillez à ce que le fichier server.policy soit mis à jour pour fournir les droits appropriés.

Remarque : Si vous utilisez la fonction de mappage d'identité distribuée SAF il n'est pas nécessaire de configurer un module de mappage.

Pourquoi et quand exécuter cette tâche

Le module de mappage SAF personnalisé (com.ibm.websphere.security.SampleSAFMappingModule ou un module de mappage écrit par le client) doit être ajouté à chacune des entrées de module de connexion système suivantes et doit être déplacé manuellement à l'avant-dernière position des modules de connexion système, comme indiqué :
  • Pour SWAM (Simple WebSphere Authentication Mechanism), ajoutez l'entrée au module de connexion SWAM.
    Remarque : SWAM est obsolète dans WebSphere Application Server Version 9.0 et sera supprimée dans la prochaine version.
  • Pour LTPA (Lightweight Third Party Authentication), ajoutez l'entrée aux modules de connexion WEB_INBOUND, RMI_INBOUND et DEFAULT.

    LTPA est le mécanisme d'authentification par défaut pour WebSphere Application Server Version 9.0.

Remarque : Pour la configuration de base, si vous sélectionnez SWAM comme mécanisme d'authentification, mettez à jour l'entrée SWAM. Par contre, si vous prévoyez d'utiliser LTPA comme mécanisme d'authentification, configurez les quatre entrées de module de connexion système. Dans le cas d'une configuration WebSphere Application Server, Network Deployment seules les entrées de configuration du mécanisme d'authentification LTPA doivent être définies.

Procédure

  1. Configurez le module de mappage personnalisé :
    1. Cliquez surSécurité > Sécurité globale.
    2. Sous Java Authentication and Authorization Service, cliquez sur Connexions système > login_module_name.
    3. Dans Propriétés supplémentaires, cliquez sur Modules de connexion JAAS > Nouveau.
    4. Indiquez le nom de classe du module de connexion personnalisé dans la zone Nom de Module Classname. (Utilisez com.ibm.websphere.security.SampleSAFMappingModule pour le modèle de module fourni).
    5. Cliquez sur Appliquer pour ajouter le nouveau module dans la liste de modules de connexion.
  2. Configurez le module de connexion com.ibm.ws.security.common.auth.module.MapPlatformSubject fourni :
    1. Cliquez surSécurité > Sécurité globale.
    2. Sous Java Authentication and Authorization Service, cliquez sur Connexions système > nom_module_connexion.
    3. Dans Propriétés supplémentaires, cliquez sur Modules de connexion JAAS > Nouveau.
    4. Entrez le nom de classe : com.ibm.ws.security.common.auth.module.MapPlatformSubject.
    5. Cliquez sur Appliquer pour ajouter le nouveau module dans la liste de modules de connexion.
  3. Cliquez surSécurité > Sécurité globale.
  4. Dans le menu Authentication, développez Java Authentication and Authorization Service et cliquez sur Connexions système > login_module_name.
  5. Sous Propriétés supplémentaires, sélectionnez Modules de connexion JAAS > Définir l'ordre et vérifiez que le nouveau module de mappage est placé avant com.ibm.ws.security.common.auth.module.MapPlatformSubject et après com.ibm.ws.security.server.lm.wsMapDefaultInboundLoginModule.

    Le nouveau module de mappage doit être placé avant com.ibm.ws.security.common.auth.module.MapPlatformSubject et après com.ibm.ws.security.server.lm.wsMapDefaultInboundLoginModule.

  6. Sélectionnez la case en regard du nouveau module de mappage, puis cliquez sur Déplacer vers le haut. Lorsque les modules de mappage sont dans le bon ordre, cliquez sur Appliquer, puis sur Sauvegarder, et Sauvegarder (veillez à sélectionner Synchroniser les modifications avec les noeuds si vous travaillez avec un cellule WebSphere Application Server, Network Deployment).

Que faire ensuite

Effectuez ces modifications pour chacun des modules de connexion système requis pour votre configuration WebSphere Application Server for z/OS. Le choix des modules de connexion système nécessaires dépend du mécanisme d'authentification utilisé (SWAM ou LTPA).

Remarque : Si les propriétés du module de mappage d'identité SAF que vous avez installé sont configurables, vous pouvez les mettre à jour en créant des propriétés personnalisées dans la fenêtre des connexions système JAAS de la console d'administration. Utilisez cet exemple pour mettre à jour les propriétés si vous avez utilisé le module SampleSAFMapping comme prototype et mis à jour la clause else pour fournir la logique de mappage personnalisé. Dans ce cas, vous devez créer la propriété personnalisée useWSPrincipleName et lui attribuer la valeur false pour chaque configuration de connexion JAAS concernée utilisant le module SampleSAFMappingModule modifié.
  1. Cliquez surSécurité > Sécurité globale.
  2. Sous Java Authentication and Authorization Service, cliquez sur Connexions système > login_module_name.
  3. Dans Propriétés supplémentaires, cliquez sur Modules de connexion JAAS > com.ibm.websphere.security.SampleSAFMappingModule.
  4. Dans Propriétés supplémentaires, cliquez sur Propriétés personnalisées > Nouveau.
  5. Entrez le nom de propriété personnalisée useWSPrincipalName et la valeur false.
  6. Cliquez sur Appliquer, Sauvegarder et Sauvegarder.

Répétez cette procédure pour chacun des modules de connexion système utilisant le module SampleSAFMappingModule modifié.


Icône indiquant le type de rubrique Rubrique de tâche



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_installsafmapmods
Nom du fichier : tsec_installsafmapmods.html