[z/OS]

Mappage d'un principal Kerberos à une identité SAF (System Authorization Facility) sur z/OS

Si vous sélectionnez le bouton d'option Utiliser le segment KERB d'un profil utilisateur SAF dans le panneau Kerberos de la console d'administration WebSphere Application Server vos utilisateurs ES local doivent être mappés sur un principal Kerberos spécifique.

Avant de commencer

Ces instructions supposent que vous utilisez le serveur de sécurité z/OS (RACF). Si vous utilisez un autre produit de sécurité, renseignez-vous auprès de votre fournisseur.

Pour afficher la page de la console d'administration de Kerberos contenant le bouton d'option Utiliser le segment KERB d'un profil utilisateur SAF, cliquez sur Sécurité > Sécurité globale. Sous Authentification, cliquez sur Configuration de Kerberos.

Dans le panneau de la console d'administration Kerberos, sous Mappage des noms de principal Kerberos à des identités SAF, le premier bouton d'option, Ne pas utiliser de profils SAF pour le mappage de principaux Kerberos à des identités SAF, est sélectionné par défaut mais n'utilise pas de segment RACMAP ou KERB pour le mappage.

Remarque : Ce bouton d'option doit être sélectionné si vous utilisez le registre du système d'exploitation sous z/OS et le module de mappage intégré pour mapper les princpaux Kerberos aux identités SAF.

Sous Mappage des noms de principal Kerberos à des identités SAF, les deux derniers boutons d'option, Utiliser le segment KERB d'un profil utilisateur SAF et Utiliser les profils RACMAP du produit SAF pour le mappage d'identité réparti, ne doivent pas être sélectionnés s'ils ont déjà un module de mappage JAAS.

Eviter les incidents Eviter les incidents: Si vous sélectionnez l'option pour utiliser le module de mappage intégré, il est préférable de ne pas configurer d'autres modules de connexion JAAS personnalisés pour mapper le principal kerberos à l'identité SAF.gotcha

Pourquoi et quand exécuter cette tâche

Vous pouvez mapper un principal à une identité SAF de deux manières selon que le principal Kerberos est local ou externe. Un principal Kerberos est local lorsqu'il existe dans le KDC z/OS du système z/OS de la base de données RACF.

Pour plus d'informations sur l'utilisation de la commande ALTUSER à des fins de configuration du centre de distribution de clés, voir Z/OS V1R7.0 Integrated Security Services Network Authentication Service Administration.

Vous ne devez pas inclure le nom de domaine Kerberos lorsque vous définissez le nom de du principal Kerberos local.

Mappage d'un principal Kerberos local :

  1. Par exemple, pour mapper l'utilisateur RACF USER1 au nom de principal Kerberos local kerberosUser1 (notez que le nom du principal Kerberos est sensible à la casse), exécutez la commande RACF suivante :

    ALTUSER USER1 PASSWORD(security) NOEXPIRED KERB(KERBNAME(kerberosUser1))

  2. Si vous envisagez d'interagir avec un centre KDC Windows, notez que les types de chiffrement de DES, DES3, DESD ne sont pas pris en charge en exécutant la commande RACF suivante :
    ALTUSER USER1 PASSWORD(SECURITY) NOEXPIRED KERB(KERBNAME(kerberosUser1) ENCRYPT(DES NODES3 NODESD))
    Eviter les incidents Eviter les incidents: Vérifiez que la liste des types de chiffrements pris en charge définis dans la commande ALTUSER est cohérente avec ce qui est défini dans le fichier de configuration krb5.conf kerberos. Par exemple, si le fichier de configuration krb5.conf indique que seul aes256-cts-hmac-sha1-96 est pris en charge, tous les types de chiffrements ne doivent pas être pris en charge pour l'opérande ENCRYPT, sauf AES256.gotcha
  3. Pour vérifier si la commande précédente a abouti, exécutez la commande RACF suivante :

    LISTUSER USER1 KERB NORACF

L'exemple suivant illustre les informations relatives à Kerberos s'affichant à la fin de la sortie :
KERB INFORMATION                         
----------------                         
KERBNAME= kerberosUser1                  
KEY VERSION= 001                         
KEY ENCRYPTION TYPE= DES NODES3 NODESD   

La commande ALTUSER doit être émise pour chaque utilisateur de RACF devant se connecter à WebSphere Application Server via Kerberos.

Remarque : Le nom de principal n'est pas converti en majuscules, et le nom du domaine n'est pas inclus. Si l'option de mot de passe à casse mixte n'est pas activée, la commande ALTUSER convertit le mot de passe en majuscules. Si cette option n'est pas en vigueur, assurez-vous que la valeur de majuscules est utilisée lorsque vous demandez un ticket Kerberos initial. Pour plus d'informations sur cette option, voir Sensibilité à la casse du mot de passe au moyen d'un registre de système d'exploitation local. Vous devez modifier le mot de passe de l'utilisateur afin de créer la clé confidentielle Kerberos.

Mappage d'un principal Kerberos externe :

Vous pouvez associer chaque principal dans un domaine externe à son propre ID d'utilisateur dans RACF ou tous les principaux d'un royaume externe au même ID utilisateur dans RACF. Pour mapper un principal Kerberos externe à un utilisateur RACF, définissez un profil de ressource général dans la classe KERBLINK. Chaque mappage est défini et modifié en utilisant les commandes RDEFINE et RALTER.

Remarque : Remarque : les caractères du nom de profil de la classe KERBLINK ne sont pas convertis en majuscules. Par conséquent, veillez à entrer la partie domaine du nom du profil en majuscules et le nom du principal externe dans la casse appropriée.

Pour plus d'informations sur l'utilisation de la classe KERBLINK, voir le document z/OS Security Server RACF Security Administrator's Guide.

  1. Par exemple, pour mapper le nom de principal Kerberos externe foreignKerberosUser2 du domaine externe FOREIGN.REALM.IBM.COM l'utilisateur RACF USER2, exécutez la commande RACF suivante :

    RDEFINE KERBLINK /.../FOREIGN.REALM.IBM.COM/foreignKerberosUser2 APPLDATA('USER2')

  2. Pour vérifier si la commande précédente a abouti, exécutez la commande RACF suivante :

    RLIST KERBLINK /.../FOREIGN.REALM.IBM.COM/foreignKerberosUser2

L'ID RACF mappé figure dans la zone APPLICATION DATA, comme dans l'exemple de sortie suivant de la commande RLIST :
CLASS      NAME
-----      ----
KERBLINK   /.../FOREIGN.REALM.IBM.COM/foreignKerberosUser2

LEVEL  OWNER      UNIVERSAL ACCESS  YOUR ACCESS  WARNING
-----  --------   ----------------  -----------  -------
00    IBMUSER         NONE              ALTER    NO

INSTALLATION DATA
-----------------
AUCUNE

APPLICATION DATA
----------------
USER2

AUDITING
--------
FAILURES(READ)

NOTIFY
------
NO USER TO BE NOTIFIED

Icône indiquant le type de rubrique Rubrique de tâche



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_kerb_zmap
Nom du fichier : tsec_kerb_zmap.html