Cette tâche permet d'ajouter un module de mappage SAF (System Authorization Facility) personnalisé
à l'un des modules de connexion système à l'aide de la console d'administration.
Avant de commencer
Pour utiliser un module de connexion connectable afin de
mapper une identité Java™ EE
(Java Platform, Enterprise
Edition) sur un utilisateur
RACF (Resource Access Control
Facility) vous devez configurer un module de mappage connectable,
puis WebSphere
Application Server pour le
module fourni par z/OS,
com.ibm.ws.security.common.auth.module.MapPlatformSubject, dans les
configuration de connexion système JAAS
(Java Authentication and
Authorization Service). Lorsque l'option Autorisation SAF ou Synchronisation avec l'unité d'exécution du système d'exploitation est
configurée, cette méthode permet à l'installation de configurer le registre WebSphere
Application Server comme registre
LDAP (Lightweight Directory Access Protocol) autonome ou comme registre personnalisé autonome.
WebSphere
Application Server ne prend pas
en charge les registres de système d'exploitation locaux sur les
plateformes avec la fonctionnalité de référentiel fédéré. Par conséquent, les registres RACF gérés par SAF ne sont pas pris en charge sous la fonctionnalité de référentiel fédéré.
Mettre à jour : Les registres RACF gérés par SAF sont pris en charge sous la fonctionnalité de référentiel fédéré. Dans les versions précédentes, ils n'étaient pas pris en charge.
Pour configurer un module de mappage SAF afin d'utiliser des référentiels fédérés avec un adaptateur de registre d'utilisateurs SAF
pour l'autorisation SAF, reportez-vous à la rubrique Configuration d'un module de mappage SAF (System Authorization Facility) personnalisé pour les référentiels fédérés.
Avant de continuer, assurez-vous de savoir comment écrire un module de mappage pour obtenir une identité SAF. Pour plus d'informations, voir Ecriture d'un module de mappage SAF (System Authorization Facility) personnalisé avec un système d'exploitation non local. Si vous utilisez autre chose que le modèle, vous devez créer les classes correspondantes et les
installer dans le répertoire <WAS_HOME>/classes pour chaque noeud de la cellule, y compris le noeud de gestionnaire de déploiement de la cellule. Si la sécurité Java 2 est activée, veillez à ce que le fichier server.policy soit mis à jour pour fournir les droits appropriés.
Remarque : Si vous utilisez la fonction de mappage d'identité distribuée SAF il
n'est pas nécessaire de configurer un module de mappage.
Pourquoi et quand exécuter cette tâche
Le module de mappage SAF personnalisé (com.ibm.websphere.security.SampleSAFMappingModule ou un module de mappage écrit par le client) doit être ajouté à chacune des entrées de module de connexion système suivantes et doit être déplacé manuellement à l'avant-dernière position des modules de connexion système, comme indiqué :
- Pour SWAM (Simple WebSphere Authentication
Mechanism), ajoutez l'entrée au module de connexion SWAM.
Remarque : SWAM est obsolète dans WebSphere
Application Server Version 9.0 et sera supprimée dans la prochaine version.
- Pour LTPA (Lightweight Third Party Authentication), ajoutez l'entrée aux modules de connexion WEB_INBOUND, RMI_INBOUND et DEFAULT.
LTPA est le mécanisme d'authentification par défaut pour
WebSphere
Application Server
Version 9.0.
Remarque : Pour la configuration de base, si vous sélectionnez SWAM comme mécanisme d'authentification, mettez à jour l'entrée SWAM. Par contre, si vous prévoyez d'utiliser LTPA comme mécanisme d'authentification, configurez les quatre entrées de module de connexion système. Dans le cas d'une configuration WebSphere
Application Server, Network Deployment seules les entrées de configuration du mécanisme
d'authentification LTPA doivent être définies.
Procédure
- Configurez le module de mappage personnalisé :
- Cliquez surSécurité > Sécurité globale.
- Sous Java Authentication and Authorization Service, cliquez sur Connexions système > login_module_name.
- Dans Propriétés supplémentaires, cliquez sur Modules de connexion JAAS > Nouveau.
- Indiquez le nom de classe du module de connexion personnalisé dans la zone Nom de Module
Classname. (Utilisez com.ibm.websphere.security.SampleSAFMappingModule pour le modèle de
module fourni).
- Cliquez sur Appliquer pour ajouter le nouveau module dans la liste de modules de connexion.
- Configurez le module de connexion com.ibm.ws.security.common.auth.module.MapPlatformSubject fourni :
- Cliquez surSécurité > Sécurité globale.
- Sous Java Authentication and Authorization Service, cliquez sur Connexions système > nom_module_connexion.
- Dans Propriétés supplémentaires, cliquez sur Modules de connexion JAAS > Nouveau.
- Entrez le nom de classe : com.ibm.ws.security.common.auth.module.MapPlatformSubject.
- Cliquez sur Appliquer pour ajouter le nouveau module dans la liste de modules de connexion.
- Cliquez surSécurité > Sécurité globale.
- Dans le menu Authentication, développez Java Authentication and Authorization Service et cliquez sur Connexions système > login_module_name.
- Sous Propriétés supplémentaires, sélectionnez Modules de connexion JAAS
> Définir l'ordre et vérifiez que le nouveau module de mappage est placé avant com.ibm.ws.security.common.auth.module.MapPlatformSubject et après
com.ibm.ws.security.server.lm.wsMapDefaultInboundLoginModule.
Le nouveau module de mappage doit être placé avant com.ibm.ws.security.common.auth.module.MapPlatformSubject et après com.ibm.ws.security.server.lm.wsMapDefaultInboundLoginModule.
- Sélectionnez la case en regard du nouveau module de mappage, puis cliquez sur Déplacer vers le haut. Lorsque les modules de mappage sont dans le bon ordre, cliquez sur
Appliquer, puis sur Sauvegarder, et Sauvegarder
(veillez à sélectionner Synchroniser les modifications avec les
noeuds si vous travaillez avec un cellule
WebSphere
Application Server, Network Deployment).
Que faire ensuite
Effectuez ces modifications pour chacun des modules de
connexion système requis pour votre configuration WebSphere
Application Server for z/OS. Le choix des modules de connexion système nécessaires dépend du mécanisme d'authentification utilisé (SWAM ou LTPA).
Remarque : Si les propriétés du module de mappage d'identité SAF que vous avez installé sont configurables, vous pouvez les mettre à jour en créant des propriétés personnalisées dans la fenêtre des connexions système JAAS de la console d'administration. Utilisez cet exemple
pour mettre à jour les propriétés si vous avez utilisé le module SampleSAFMapping comme prototype
et mis à jour la clause else pour fournir la logique de mappage personnalisé. Dans ce cas, vous devez créer la propriété personnalisée useWSPrincipleName
et lui attribuer la valeur false pour chaque configuration de connexion JAAS concernée utilisant le module SampleSAFMappingModule modifié.
- Cliquez surSécurité > Sécurité globale.
- Sous Java Authentication and Authorization Service, cliquez sur Connexions système > login_module_name.
- Dans Propriétés supplémentaires, cliquez sur Modules de connexion JAAS > com.ibm.websphere.security.SampleSAFMappingModule.
- Dans Propriétés supplémentaires, cliquez sur Propriétés personnalisées > Nouveau.
- Entrez le nom de propriété personnalisée useWSPrincipalName et la valeur false.
- Cliquez sur Appliquer, Sauvegarder et Sauvegarder.
Répétez cette procédure pour chacun des modules de connexion système utilisant
le module SampleSAFMappingModule modifié.