[z/OS]

Registres d'utilisateurs SAF (System Authorization Facility)

Les registres d'utilisateurs SAF (System Authorization Facility) sont utilisés à différentes fins dans WebSphere Application Server for z/OS.

Les registres d'utilisateurs SAF sont utilisés dans les cas suivants :
  • Authentification à l'aide de l'authentification de base, l'assertion d'identité ou les certificats client
  • Informations magasin sur les utilisateurs et les groupes
  • Extraction d'informations sur les utilisateurs et les groupes pour exécuter des fonctions d'administration liées à la sécurité et notamment le mappage d'utilisateurs et de groupes à des rôles de sécurité
  • Contrôle des accès aux ressources telles que les jeux de données, les commandes et les ports
Voir Sélection d'un registre ou d'un référentiel pour plus d'informations.

A l'aide de l'implémentation de registres d'utilisateurs de système d'exploitation local ou non, le mécanisme d'authentification de WebSphere Application Server for z/OS peut utiliser les interfaces SAF. Ces interfaces sont définies par MVS pour autoriser les applications à utiliser les services d'autorisation ou les registres d'utilisateurs du système dans le but de contrôler l'accès aux ressources, telles que les ensembles de données et les commandes MVS. SAF traite directement les requêtes d'autorisation de sécurité ou passe par l'intermédiaire de RACF ou d'autres produits de sécurité. Un registre d'utilisateurs SAF de système d'exploitation local n'est pas un registre centralisé comme LDAP (Lightweight Directory Access Protocol), mais un registre centralisé dans un sysplex.

Remarque : Si un registre de système d'exploitation non local est utilisé, WebSphere Application Server for z/OS l'emploie pour l'authentification, mais il utilise toujours l'interface SAF pour contrôler les accès aux ressources système.

Avec WebSphere Application Server for z/OS, les registres d'utilisateurs SAF fournissent un certificat numérique aux mappages d'ID utilisateur à l'aide de la commande RACDCERT de RACF (Resource Access Control Facility). Pour plus d'informations sur la commande RACDCERT, reportez-vous au document z/OS Security Server RACF Command Language Reference correspondant à votre version z/OS sur le site z/OS Internet Library.

L'implémentation WebSphere Application Server for z/OS localOS User Registry (SAF User Registry) définit le nom de domaine du registre à partir du profil SAFDFLT dans la classe REALM lorsque le profil SAFDFLT est défini, que la classe REALM soit active ou non. Le nom de domaine est spécifié par la propriété APPLDATA dans le profil SAFDFLT. Si le nom de domaine ne peut pas être fourni par le produit de sécurité du système d'exploitation (tel que RACF), la valeur spécifiée par la propriété protocol_iiop_daemon_listenIPAddress est utilisée. Par exemple, la valeur de protocol_iiop_daemon_listenIPAddress est utilisée si la propriété APPLDATA ou le profil SAFDFLT n'est pas défini.

Eviter les incidents Eviter les incidents: En raison du correctif PE APAR PM76462, dans la version 8.5.5.1, l'implémentation WebSphere for z/OS localOS User Registry (SAF User Registry) décrite dans le paragraphe précédent n'est appliquée que lorsque la classe REALM est active. Cette erreur d'implémentation a été corrigée dans la version 8.5.5.2.gotcha
Pour que les modifications apportées au nom de domaine soient prises en compte, l'ensemble de la cellule, notamment l'espace adresse du démon, doit être recyclé. Une restriction s'applique cependant aux services système UNIX. Si vous répertoriez les informations sur les utilisateurs et les groupes, seuls les utilisateurs possédant un segment OMVS (où les informations sur les utilisateurs et les groupes sont stockées) sont affichés. Pour plus d'informations, voir Récapitulatif des contrôles.
Eviter les incidents Eviter les incidents: Si vous recensez les groupes ou les utilisateurs du registre utilisateurs d'un domaine de sécurité, d'un nom de ressource ou d'un nom de domaine spécifique, vous devez vous assurer que vous ajoutez un segment OMVS (emplacement de stockage des informations relatives aux utilisateurs et aux groupes) pour chaque groupe ou utilisateur que vous souhaitez utiliser avec WebSphere Application Server. Le groupe par défaut de cet utilisateur doit également disposer d'un segment OMVS pour répertorier cet utilisateur dans la console d'administration. Consultez la rubrique gotcha
Remarque : La seule implémentation par défaut d'un registre de système d'exploitation local est SAF.

Pour des informations générales sur la sélection des registres d'utilisateurs, voir Sélection d'un registre ou d'un référentiel.


Icône indiquant le type de rubrique Rubrique de concept



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=csec_safuserreg
Nom du fichier : csec_safuserreg.html