[z/OS]

Mappage d'identité répartie à l'aide de SAF

La fonction de mappage d'identité réparti qui utilise SAF (System Authorization Facility) for z/OS offre d'importants avantages, et constitue une nouveauté dans cette version de WebSphere Application Server.

Cette édition de WebSphere Application Server vous permet d'utiliser la sécurité SAF (System Authorization Facility) z/OS pour associer un ID utilisateur SAF à une identité répartie. Lorsque vous utilisez cette fonction, vous pouvez conserver les informations d'identité d'origine d'un utilisateur à des fins d'audit et avoir moins d'éléments à configurer dans WebSphere Application Server.

Votre produit de sécurité z/OS doit correspondre à la version qui prend en charge le mappage d'identités réparties. La version SAF correct est 7760 ou une version suivante. Pour RACF (Resource Access Control Facility), vous devez être en version z/OS 1.11 ou suivante.

L'utilisation de cette fonction présente entre autres les avantages suivants :
  • Si vous utilisez un registre de SE non local, tel que LDAP (Lightweight Directory Access Protocol) et l'autorisation SAF, la synchronisation d'identité d'unité d'exécution z/OS (SyncToThread) ou l'option d'identité d'unité d'exécution RunAs du gestionnaire de connexion, vous pouvez mapper directement l'utilisateur à un utilisateur SAF dans le produit de sécurité z/OS avec des profils SAF RACMAP. Aucun module de mappage n'est requis ; par conséquent, vous ne devez pas configurez ces modules dans WebSphere Application Server. Les enregistrements d'audit SMF contiennent à la fois le nom d'utilisateur LDAP et l'ID utilisateur SAF mappé.
  • Si vous utilisez un registre de système d'exploitation local, et si vous utilisez Kerberos ou SPNEGO (Simple and Protected GSS-API Negotiation), vous pouvez directement mapper le principal kerberos à un utilisateur SAF dans le produit de sécurité z/OS. Aucun module de mappage n'est requis ; par conséquent, vous ne devez pas configurez ces modules dans WebSphere Application Server. Les enregistrements d'audit SMF contiennent à la fois le principal kerberos et l'ID utilisateur SAF mappé.
Remarque : La fonction de mappage d'identité répartie SAF n'est pas prise en charge dans une cellule en version mixte (noeuds antérieurs à WebSphere Application Server version 8.0).

Avantages de l'utilisation du mappage d'identité réparti

L'utilisation du mappage d'identité réparti dans SAF présente deux avantages importants :
  • Lorsqu'un utilisateur est audité sur le système d'exploitation z/OS à l'aide de SMF, l'enregistrement d'audit contient à la fois l'identité répartie et l'ID utilisateur SAF mappé. Cela permet d'améliorer l'interopérabilité multiplateforme et une valeur est fournie pour les deux environnements d'application axés sur l'hôte et hétérogènes.
  • Le mappage des identités réparties est traité par l'administrateur de la sécurité z/OS. Il n'est pas nécessaire de configure des modules de mappage dans la configuration WebSphere Application Server.

Quand utiliser le mappage d'identité réparti

Les scénarios suivants expliquent comment utiliser la nouvelle fonction de mappage d'identités réparties dans SAF.
  • Scénario 1 : Lorsque vous utilisez un registre SE non local configuré avec l'autorisation SAFla synchronisation d'identité d'unité d'exécution z/OS (SyncToThread) ou l'option d'identité d'unité d'exécution RunAs du gestionnaire de connexion, vous pouvez utiliser cette fonction pour mapper l'utilisateur de registre à un utilisateur SAF. Dans les éditions précédentes, ce processus devait être effectué à l'aide des modules de connexion JAAS (Java™ Authentication and Authorization Service) qui étaient configurés dans WebSphere Application Server.

    Le mappage d'identités réparties offre des avantages dans la mesure où les enregistrements d'audit SMF contiendront l'utilisateur réparti et l'utilisateur SAF et le mappage est contrôlé par l'administrateur z/OS Security.

    Lors du mappage d'un utilisateur de registre de système d'exploitation non local, le nom d'utilisateur réparti est la valeur renvoyée par l'API Server WSCredential.getUniqueSecurityName() WebSphere Application. Le nom de domaine est déterminé par l'API WSCredential.getRealmName() WebSphere Application Server.

    Pour activer le mappage d'identités réparties pour ce scénario, aucune autre modification n'est nécessaire dans la configuration de la sécurité.

    Remarque : Pour le scénario 1, si vous utilisez le registre de référentiels fédérés configuré à l'aide de la passerelle UserRegistry, vous pouvez quand même tirer parti de la fonction de mappage d'identité répartie SAF. Si vous vous connectez à l'aide d'un ID utilisateur SAF, celui-ci n'est pas mappé. Cependant, si vous vous connectez à l'aide d'un ID utilisateur réparti, celui-ci est mappé vers un utilisateur SAF.
  • Scénario 2 : Lorsque vous avez configuré un registre de système d'exploitation local sur la plateforme z/OS avec Kerberos ou SPNEGO activé, vous pouvez mapper le nom de principal kerberos à à un utilisateur SAF à l'aide de la fonction de mappage d'identité réparti. Dans les éditions précédentes, vous pouviez utiliser un module de connexion de mappage JAAS qui était configuré dans WebSphere Application Server ou le segment KERB de l'utilisateur SAF dans le produit de sécurité z/OS.

    Le mappage d'identités réparties offre des avantages dans la mesure où les enregistrements SMF contiendront l'utilisateur Kerberos et l'utilisateur SAF mappé.

    Lors du mappage d'un utilisateur Kerberos, le nom d'utilisateur réparti est le nom de principal kerberos. Le nom de domaine est le nom de domaine Kerberos du centre de distribution de clés. Pour plus d'informations sur la création de filtres d'identité répartie dans le produit de sécurité z/OS, consultez la rubrique Configuration des filtres d'identité répartie dans la sécurité z/OS.

    Pour activer le mappage d'identités réparties pour ce scénario :
    • Accédez à Sécurité > Sécurité globale > Configuration Kerberos.
    • Sélectionnez le bouton d'option Utiliser les profils RACMAP du produit SAF pour le mappage d'identité réparti.

    Pour effectuer cette modification avec le scriptage wsadmin, définissez la propriété personnalisée de sécurité com.ibm.websphere.security.krb.useRACMAPMappingToSAF=true.

  • Scénario 3 : Lorsque vous avez configuré un registre de système d'exploitation local, vous pouvez mapper un certificat vérifié ou un nom distinctif vérifié vers un utilisateur SAF.

    Dans les versions précédentes, le premier attribut du nom DN vérifié était mappé à un utilisateur SAF. Le mappage d'identités réparties pour un nom DN vérifié offre un avantage dans la mesure où il accroît la souplesse de mappage des utililisateurs, le mappage est contrôlé par l'administrateur de sécurité z/OS et les enregistrements d'audit SMF contiendront le nom DN vérifié et l'ID utilisateur SAF mappé. Dans les versions précédentes, un certificat vérifié était mappé à un utilisateur SAF en utilisant la fonction RACDCERT MAP de SAF. Le mappage d'identités réparties offre un avantage dans la mesure où les enregistrements d'audit SMF contiendront le nom DN du certificat et l'ID utilisateur SAF mappé. En outre, la base de données SAF économise l'espace en n'ayant pas à stocker les certificats numériques.

    Lors du mappage d'un certificat vérifié ou d'un nom DN dans SAF, l'utilisateur répartie est le nom DN et le nom de domaine est le domaine SAF en cours.

    Lors du mappage d'un certificat vérifié ou d'un nom DN dans SAF, l'utilisateur répartie est le nom DN et le nom de domaine est le domaine SAF en cours.

    Pour activer le mappage d'identités réparties pour ce scénario :
    • Accédez à Sécurité > Sécurité globale > Communications CSIv2 entrantes.
    • Pour les paramètres de couche d'attribut, sélectionnez Mapper le certificat et le nom distinctif à l'aide du mappage d'identité répartie SAF.

    Pour effectuer cette modification avec le scriptage wsadmin, définissez la propriété personnalisée de sécurité com.ibm.websphere.security.certdn.useRACMAPMappingToSAF=true

  • [z/OS]Scénario 4 : Lorsque vous avez configuré un registre de système d'exploitation local, vous pouvez mapper un certificat reçu dans la couche de transport CSIv2 vers un utilisateur SAF.

    Dans les versions précédentes, un certificat était mappé à un utilisateur SAF en utilisant la fonction RACDCERT MAP de SAF. Le mappage d'identités réparties offre un avantage dans la mesure où les enregistrements d'audit SMF contiendront le nom DN du certificat et l'ID utilisateur SAF mappé.

    [z/OS]Lors du mappage d'un certificat reçu dans la couche de transport CSIv2, l'utilisateur réparti est le nom DN et le nom de domaine est le domaine SAF en cours. En outre, la base de données SAF économise l'espace en n'ayant pas à stocker les certificats numériques.

    Pour activer le mappage d'identités réparties pour ce scénario :
    • Accédez à Sécurité > Sécurité globale > Communications CSIv2 entrantes.
    • Pour les paramètres de couche de transport, sélectionnez Mapper le certificat à l'aide du mappage d'identité répartie SAF.

    Pour effectuer cette modification avec le scriptage wsadmin, définissez la propriété personnalisée de sécurité com.ibm.websphere.security.certificate.useRACMAPMappingToSAF=true.

    Remarque : Si un espace est présent entre les attributs de votre nom distinctif, vous devez appliquer l'APAR OA34258 RACF ou la PTF UA5987 et l'APAR APAR OA34259 SAF ou la PTF UA59871 pour analyser correctement cet espace.
Tableau 1. Scénarios de mappage d'identité répartie. Le tableau ci-après récapitule la configuration de chacun des scénarios de mappage d'identité réparti.
Scénario Version SAF Registre d'utilisateurs SAF authorization=true ou SyncToThread=true ou runAs=true ? Module de mappage JAAS configuré ? Kerberos ou SPNEGO activé
Scénario 1 7760 ou version suivante (z/OS 1.11 ou version suivante pour RACF) Système d'exploitation non local yes non s/o
Scénario 2 7760 ou version suivante (z/OS 1.11 ou version suivante pour RACF) Système d'exploitation local yes non yes
Scénario 3 7760 ou version suivante (z/OS 1.11 ou version suivante pour RACF) Système d'exploitation local yes non s/o
[z/OS]Scénario 4 [z/OS]7760 ou version suivante (z/OS 1.11 ou version suivante pour RACF) [z/OS]Système d'exploitation local [z/OS]yes [z/OS]non [z/OS]s/o

Eléments à prendre en compte lors de la configuration du mappage d'identité réparti

Lorsque vous configurez le mappage d'identité réparti, vous devez effectuer les opérations suivantes :

  • Déterminez la version SAF. Vous devez d'abord vous assurer que z/OS est en version de sécurité SAF 7760 ou suivante. Si vous utilisez RACF, z/OS doit être en version 1.11 ou suivante. Un nouvel objet AdminTask, isSAFVersionValidForIdentityMapping(), est fourni pour vous aider à déterminer ces versions. De plus, le message d'information SECJ6233I, qui figure dans le fichier journal du serveur, indique la version SAF en cours.
  • Supprimez les modules de connexion JAAS inutiles. Vous devez vous assurer que le module JAAS de connexion com.ibm.ws.security.common.auth.module.MapPlatformSubject n'est pas configuré dans votre configuration WebSphere. C'est ainsi qu'était mappé un utilisateur réparti à un utilisateur SAF dans les éditions précédentes de WebSphere Application Server. Dès lors que ce module de connexion est configuré, la configuration de sécurité continue à utiliser la méthode précédente pour le mappage d'un utilisateur réparti à un utilisateur SAF. Si vous configurez une nouvelle cellule WebSphere Application Server Version 8.0, ce module de connexion JAAS n'est pas configuré par défaut. Par conséquent, aucune autre action n'est nécessaire. Toutefois, si vous avez migré la cellule vers WebSphere Application Server Version 8.0, le module de connexion JAAS existe probablement et doit être supprimé. Vous pouvez utiliser la console d'administration ou le scriptage wsadmin pour supprimer ce module de connexion. Vous pouvez également utiliser le script Jython fourni, removeMapPlatformSubject.py, qui recherche et supprime ce module de connexion des entrées de connexion appropriées. Pour plus d'informations sur l'utilisation de ce script, consultez la rubrique relative au script removeMapPlatformSubject.
    Pour supprimer le module de connexion JAAS dans la console d'administration, procédez comme suit :
    1. Cliquez sur Sécurité > Sécurité globale > Service JAAS (Java Authentification and Authorization Service > Connexions système.
    2. Cliquez sur DEFAULT.
    3. Cochez la case du module JAAS de connexion com.ibm.ws.security.common.auth.module.MapPlatformSubject, puis cliquez sur Supprimer.
    4. Cliquez sur OK.
    5. Répétez les étapes 2-4 pour les connexions système de WEB_INBOUND, RMI_INBOUND et SWAM_ZOSMAPPING.
  • Mappez les utilisateurs SAF dans le produit de sécurité z/OS. Utilisez la commande RACMAP du produit de sécurité z/OS pour configurer un filtre d'identité répartie. Utilisez ce filtre pour mapper plusieurs utilisateurs répartis à un utilisateur SAF, ou bien vous pouvez effectuer un mappage un à un. Le filtre d'identité répartie se compose de deux parties : le nom d'utilisateur réparti et le nom de domaine du registre dans lequel réside l'utilisateur réparti.
    Remarque : Dans certains cas, les modifications apportées aux filtres RACMAP ne prennent pas immédiatement effet sur le serveur WebSphere. Pour plus de détails, consultez la rubrique “Activation des modifications de filtre RACMAP pour un utilisateur authentifié” dans la section Configuration des filtres d'identité répartie dans la sécurité z/OS.

    Lors de la configuration de la fonction de mappage d'identité répartie SAF au niveau du domaine de sécurité, notez le nom de ce domaine. Vous pouvez choisir de fournir un nom de domaine ou d'utiliser le nom de domaine généré par le système. Quelles que soient les options que vous choisissez, il s'agit du nom de domaine que vous devez utiliser lors de la définition des mappages dans le registre SAF.

  • Modifiez de manière appropriée la configuration de sécurité. Lisez les scénarios 1 à 4 pour déterminer les modifications supplémentaires qu'il peut être nécessaire d'apporter à la configuration de la sécurité.

Icône indiquant le type de rubrique Rubrique de concept



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=csec_identity_saf
Nom du fichier : csec_identity_saf.html