![[z/OS]](../images/ngzos.gif)
z/OS를 기반으로 자원 액세스 제어 기능을 사용하여 LDAP(Lightweight Directory Access Protocol) 사용자 레지스트리를 보안하기 위해 구성
z/OS®에서 LDAP(Lightweight Access Directory Protocol)를 기존 자원 액세스 제어 기능(RACF®) 백엔드와 함께 구성하여 Application Server를 보호할 수 있습니다. 이는 RACF에 정의된 기본 z/OS 보안 설정을 WebSphere® Application Server 보안 환경과 통합합니다.
시작하기 전에
다음 요구사항은 이러한 단계를 구현할 때 존재합니다.
- z/OS를 기반으로 LDAP 서버가 RACF와 함께 구성되어 있어야 합니다. 이 구성에 대한 자세한 정보는 z/OS 인터넷 라이브러리를 참조하십시오.
- z/OS v1r3 이상에서 LDAP를 사용해야 합니다. v1r3 또는 v1r4의 경우 다음 단계를 수행하기 전에 APAR 0A03857 - PTF UA06622를 적용해야 합니다.
- 사용자는 RACF 사용자 ID를 사용하여 WebSphere 보안에 로그인하고 비밀번호 및 식별 이름, Bind DN을 사용하여 LDAP로 인증됩니다. Bind DN은 RACF 사용자 ID 및 SDBM 접미부를 LDAP 서버 구성 파일에서 통합합니다. RACF 사용자가 johndoe이고 LDAP 구성 파일의 SDBM 섹션에서 접미부 값이 cn=myRACF이면, bind DN은 racfid=johndoe, profiletype=user, cn=myRACF입니다.
- WebSphere 보안 그룹을 포함하여 사용자가 속하는 각 RACF 그룹은 사용자의 LDAP 항목에서 다중 값 racfconnectgroupname 속성에 저장됩니다. 속성은 사용자의 DN을 Base DN으로 사용하여 기본 또는 서브트리 검색이 수행될 때 리턴됩니다.
- Bind DN은 특수 또는 감사자 권한이 있는 RACF 사용자를 나타내야 합니다. 필수 RACF 권한에 대한 자세한 정보는 z/OS 인터넷 라이브러리에서 z/OS 버전의 z/OS Security Server RACF 명령 언어 참조를 참조하십시오.
- LDAP 기본 스키마에 racfconnectgroupname 속성을 정의해야 합니다.
알아두기: LDAP 서버 구성 파일에 SDBM에 추가로 TBDM을 정의한 경우에는 TDBM의 스키마는 LDAP 서버의 기본 스키마입니다. TDBM 스키마가 racfconnectgroupname 속성을 포함하지 않는 경우에는 LDAP 서버 구성 파일에서 TDBM을 제거하거나 schema.user.ldif 파일 및 schema.IBM.ldif 파일에서 스키마를 TDBM 스키마에 추가하십시오.
프로시저
- 보안 > 글로벌 보안을 클릭하십시오.
- 사용자 계정 저장소 아래에서 독립형 LDAP 레지스트리를 선택한 다음 구성을 클릭하십시오.
- LDAP 서버 유형 아래에서 사용자 정의를 클릭하십시오.
- LDAP 환경의 필드를 완료하십시오. 자세한 정보는 Lightweight Directory Access Protocol 사용자 레지스트리 구성의 내용을 참조하십시오. 사용자 및 그룹은 Base DN의 서브트리에 있어야 합니다.
- 권한 부여의 대소문자 구분 안함이 선택되어 있는지 확인하십시오. RACF 사용자 이름 및 그룹 이름은 대소문자를 구분하지 않습니다.
- 적용을 클릭한 다음 저장을 클릭하십시오.
- 추가 특성 아래에서 고급 LDAP(Lightweight Directory Access Protocol) 사용자 레지스트리 설정을 클릭하십시오.
- 사용자 필터 및 그룹 필터를 racfid=%v로 변경하십시오.
- 사용자 ID 맵 및 그룹 ID 맵을 *:racfid로 변경하십시오.
- 그룹 구성원 ID 맵을 racfconnectgroupname:racfgroupuserids로 변경하십시오.
- 적용을 클릭하고 저장을 클릭하십시오.
- 관리 역할을 사용자에 지정하십시오. 자세한 정보는 관리 역할에 대한 액세스 권한 부여의 내용을 참조하십시오.
- WebSphere Application Server를 다시 시작하십시오.