![[z/OS]](../images/ngzos.gif)
z/OS ベースの Resource Access Control Facility (RACF) を使用して Lightweight Directory Access Protocol (LDAP) ユーザー・レジストリーをセキュアにする構成
アプリケーション・サーバーは、既存の Resource Access Control Facility (RACF®) バックエンドを使用して z/OS® に Lightweight Access Directory Protocol (LDAP) を構成することでセキュアにすることができます。 これにより、RACF に定義されたネイティブ z/OS セキュリティー設定は、WebSphere® Application Server のセキュリティー環境と統合されます。
始める前に
ここでの手順を実施するには、次のような条件があります。
- z/OS ベースの RACF を使用して構成された LDAP サーバーがあること。 この構成について詳しくは、z/OS Internet Library を参照してください。
- LDAP は z/OS v1r3 以上で使用してください。v1r3 または v1r4 では、 APAR 0A03857 - PTF UA06622 を適用してから以下のステップに進んでください。
- ユーザーは、RACF ユーザー ID で WebSphere セキュリティーにログインし、パスワードと識別名 (バインド DN) を使用して LDAP によって認証されます。 バインド DN は、RACF ユーザー ID と SDBM サフィックスを LDAP サーバー構成ファイルに 取り込みます。 RACF ユーザーが johndoe で、LDAP 構成ファイルの SDBM セクションのサフィックス値が cn=myRACF である場合、バインド DN は racfid=johndoe, profiletype=user, cn=myRACF になります。
- ユーザーが所属する各 RACF グループは、WebSphere セキュリティー・グループも含め、ユーザーの LDAP 項目にある多値の racfconnectgroupname 属性に保管されます。 この属性は、ユーザーの DN を基本 DN として基本検索または サブツリー検索を実行すると戻されます。
- バインド DN は、Special または Auditor 特権を持つ RACF ユーザーを表す必要があります。 必要な RACF 権限について詳しくは、z/OS Internet Library で、ご使用の z/OS バージョンの「z/OS Security Server RACF Command Language Reference」を参照してください。
- LDAP デフォルト・スキーマで racfconnectgroupname 属性を定義する
必要があります。要確認: LDAP サーバー構成ファイルで、 SDBM だけでなく TBDM も定義済みである場合は、TDBM のスキーマが LDAP サーバーの デフォルト・スキーマになります。TDBM スキーマに racfconnectgroupname 属性が組み込まれていない場合は、 LDAP サーバー構成ファイルから TDBM を除去するか、schema.user.ldif ファイルおよび schema.IBM.ldif ファイルのスキーマを TDBM スキーマに追加します。
手順
- 「セキュリティー」>「グローバル・セキュリティー」とクリックします。
- 「ユーザー・アカウント・リポジトリー」において、「スタンドアロン LDAP レジストリー」を選択し、 「構成」をクリックします。
- 「LDAP サーバーのタイプ」の下で、「カスタム」をクリックします。
- LDAP 環境向けのフィールドをすべて埋めます。詳しくは、Lightweight Directory Access Protocol ユーザー・レジストリーの構成を参照してください。 ユーザーとグループは基本 DN のサブツリーに入っていなければなりません。
- 「許可検査で大/小文字を区別しない」が選択されていることを確認します。 RACF のユーザー名とグループ名では、大文字小文字の区別がありません。
- 「適用」をクリックしてから、「保存」をクリックします。
- 「追加プロパティー」の下で、「拡張 LDAP ユーザー・レジストリー設定」をクリックします。
- ユーザー・フィルターとグループ・フィルターを racfid=%v に変更します。
- ユーザー ID マップとグループ ID マップを *:racfid. に変更します。
- グループ・メンバー ID マップを racfconnectgroupname:racfgroupuserids に変更します。
- 「適用」をクリックして、「保存」をクリックします。
- 管理ロールをユーザーに割り当てます。 詳しくは、 管理ロールへのアクセスの許可 を参照してください。
- WebSphere Application Server を再始動します。