![[z/OS]](../images/ngzos.gif)
Mappage d'un principal Kerberos à une identité SAF (System Authorization Facility) sur z/OS
Si vous sélectionnez le bouton d'option Utiliser le segment KERB d'un profil utilisateur SAF dans le panneau Kerberos de la console d'administration WebSphere Application Server vos utilisateurs ES local doivent être mappés sur un principal Kerberos spécifique.
Avant de commencer
Pour afficher la page de la console d'administration de Kerberos contenant le bouton d'option Utiliser le segment KERB d'un profil utilisateur SAF, cliquez sur Sécurité > Sécurité globale. Sous Authentification, cliquez sur Configuration de Kerberos.
Dans le panneau de la console d'administration Kerberos, sous Mappage des noms de principal Kerberos à des identités SAF, le premier bouton d'option, Ne pas utiliser de profils SAF pour le mappage de principaux Kerberos à des identités SAF, est sélectionné par défaut mais n'utilise pas de segment RACMAP ou KERB pour le mappage.
Sous Mappage des noms de principal Kerberos à des identités SAF, les deux derniers boutons d'option, Utiliser le segment KERB d'un profil utilisateur SAF et Utiliser les profils RACMAP du produit SAF pour le mappage d'identité réparti, ne doivent pas être sélectionnés s'ils ont déjà un module de mappage JAAS.

Pourquoi et quand exécuter cette tâche
Vous pouvez mapper un principal à une identité SAF de deux manières selon que le principal Kerberos est local ou externe. Un principal Kerberos est local lorsqu'il existe dans le KDC z/OS du système z/OS de la base de données RACF.
Pour plus d'informations sur l'utilisation de la commande ALTUSER à des fins de configuration du centre de distribution de clés, voir Z/OS V1R7.0 Integrated Security Services Network Authentication Service Administration.
Vous ne devez pas inclure le nom de domaine Kerberos lorsque vous définissez le nom de du principal Kerberos local.
Mappage d'un principal Kerberos local :
- Par exemple, pour mapper l'utilisateur RACF USER1 au nom de principal Kerberos local kerberosUser1 (notez que le nom du principal Kerberos est sensible à la casse), exécutez la commande RACF suivante :
ALTUSER USER1 PASSWORD(security) NOEXPIRED KERB(KERBNAME(kerberosUser1))
- Si vous envisagez d'interagir avec un centre KDC Windows, notez que
les types de chiffrement de DES, DES3, DESD ne sont pas pris en charge en exécutant la commande RACF suivante :ALTUSER USER1 PASSWORD(SECURITY) NOEXPIRED KERB(KERBNAME(kerberosUser1) ENCRYPT(DES NODES3 NODESD))
Eviter les incidents: Vérifiez que la liste des types de chiffrements pris en charge définis dans la commande ALTUSER est cohérente avec ce qui est défini dans le fichier de configuration krb5.conf kerberos. Par exemple, si le fichier de configuration krb5.conf indique que seul aes256-cts-hmac-sha1-96 est pris en charge, tous les types de chiffrements ne doivent pas être pris en charge pour l'opérande ENCRYPT, sauf AES256.gotcha
- Pour vérifier si la commande précédente a abouti, exécutez la commande RACF suivante :
LISTUSER USER1 KERB NORACF
KERB INFORMATION
----------------
KERBNAME= kerberosUser1
KEY VERSION= 001
KEY ENCRYPTION TYPE= DES NODES3 NODESD
La commande ALTUSER doit être émise pour chaque utilisateur de RACF devant se connecter à WebSphere Application Server via Kerberos.
Mappage d'un principal Kerberos externe :
Vous pouvez associer chaque principal dans un domaine externe à son propre ID d'utilisateur dans RACF ou tous les principaux d'un royaume externe au même ID utilisateur dans RACF. Pour mapper un principal Kerberos externe à un utilisateur RACF, définissez un profil de ressource général dans la classe KERBLINK. Chaque mappage est défini et modifié en utilisant les commandes RDEFINE et RALTER.
Pour plus d'informations sur l'utilisation de la classe KERBLINK, voir le document z/OS Security Server RACF Security Administrator's Guide.
- Par exemple, pour mapper le nom de principal Kerberos externe foreignKerberosUser2 du domaine externe FOREIGN.REALM.IBM.COM
l'utilisateur RACF USER2, exécutez
la commande RACF suivante :
RDEFINE KERBLINK /.../FOREIGN.REALM.IBM.COM/foreignKerberosUser2 APPLDATA('USER2')
- Pour vérifier si la commande précédente a abouti, exécutez la commande RACF suivante :
RLIST KERBLINK /.../FOREIGN.REALM.IBM.COM/foreignKerberosUser2
CLASS NAME
----- ----
KERBLINK /.../FOREIGN.REALM.IBM.COM/foreignKerberosUser2
LEVEL OWNER UNIVERSAL ACCESS YOUR ACCESS WARNING
----- -------- ---------------- ----------- -------
00 IBMUSER NONE ALTER NO
INSTALLATION DATA
-----------------
AUCUNE
APPLICATION DATA
----------------
USER2
AUDITING
--------
FAILURES(READ)
NOTIFY
------
NO USER TO BE NOTIFIED