[z/OS]

Instalando e Configurando um Módulo de Mapeamento Customizado do System Authorization Facility para o WebSphere Application Server

Utilize esta tarefa para incluir um módulo de mapeamento System Authorization Facility (SAF) customizado para um dos módulos de login do sistema, utilizando o console administrativo.

Antes de Iniciar

Para usar um módulo de login que pode ser conectado para executar a identidade do Java™ Platform, Enterprise Edition (Java EE) para o mapeamento de usuário Resource Access Control Facility (RACF), você deve configurar o módulo de mapeamento conectável, seguido pela configuração do módulo fornecido pelo WebSphere Application Server for z/OS, com.ibm.ws.security.common.auth.module.MapPlatformSubject, nas configurações de login do sistema Java Authentication and Authorization Service (JAAS) apropriado. Quando a Autorização SAF ou Sincronização com Encadeamento do S.O. é configurada, esta abordagem possibilita que uma instalação configure o registro do WebSphere Application Server ativo como um registro do Protocolo LDAP independente ou registro customizado independente.

O WebSphere Application Server não suporta um registro do sistema operacional local em nenhuma plataforma sob a funcionalidade do repositório federado. Portanto, um registro RACF gerenciado pelo SAF não é suportado sob a funcionalidade do repositório federado.

Atualizar: Um registro RACF gerenciado pelo SAF é suportado na funcionalidade do repositório associado. Em releases anteriores, ele não era suportado. Para configurar o módulo de mapeamento SAF para usar repositórios federados com um adaptador de registro do usuário SAF para autorização SAF, consulte Configurando um Módulo de Mapeamento System Authorization Facility Customizado para Repositórios Federados.

Antes de continuar, certifique-se de saber como gravar um módulo de mapeamento para obter uma identidade SAF. Para obter informações adicionais, consulte Gravando um Módulo de Mapeamento do System Authorization Facility (SAF) Customizado com Sistema Operacional Não Local. Se você utilizar algo diferente da amostra, deverá construir as classes relevantes e instalá-las no diretório <WAS_HOME>/classes para cada nó na célula, incluindo o nó do gerenciador de implementação em uma célula. Se a segurança Java 2 for ativada, assegure-se de que o arquivo server.policy esteja atualizado para fornecer as permissões apropriadas.

Nota: Se estiver usando o recurso de mapeamento de identidade distribuída SAF, não será necessário configurar um módulo de mapeamento.

Sobre Esta Tarefa

O módulo de mapeamento customizado do SAF (com.ibm.websphere.security.SampleSAFMappingModule ou o módulo de mapeamento escrito pelo cliente) deve ser incluído em cada uma das seguintes entradas do módulo de login do sistema e deve ser alterado manualmente da segunda para a última posição na ordem para os módulos de login do sistema, conforme indicado:
  • Para o SWAM (Simple WebSphere Authentication Mechanism), inclua a entrada no módulo de login SWAM.
    Nota: SWAM foi descontinuado no WebSphere Application Server Versão 9.0 e será removido em um release futuro.
  • Para o Lightweight Third Party Authentication (LTPA), inclua a entrada nos módulos de login WEB_INBOUND, RMI_INBOUND e DEFAULT.

    LTPA é o mecanismo de autenticação padrão para WebSphere Application Server Versão 9.0.

Nota: Para configuração base, se você selecionar SWAM como seu mecanismo de autenticação, atualize a entrada SWAM. No entanto, se você planejar utilizar o LTPA como o mecanismo de autenticação, configure todas as quatro entradas do módulo de login do sistema. Para uma configuração WebSphere Application Server, Network Deployment, é necessário apenas configurar as entradas de configuração do mecanismo de autenticação de LTPA.

Procedimento

  1. Configure o módulo de mapeamento customizado:
    1. Clique em Segurança > Segurança Global.
    2. Em Java Authentication and Authorization Service, clique em Logins de Sistema > login_module_name.
    3. Em Propriedades Adicionais, clique em Módulos de Login do JAAS > Novo.
    4. Digite o nome de classe do módulo de login customizado no arquivo Nome de Classe do Módulo. (Utilize com.ibm.websphere.security.SampleSAFMappingModule para o módulo de amostra fornecido).
    5. Clique em Aplicar para incluir o novo módulo na lista de módulos de login.
  2. Configure módulo de login com.ibm.ws.security.common.auth.module.MapPlatformSubject fornecido:
    1. Clique em Segurança > Segurança Global.
    2. Em Java Authentication and Authorization Service, clique em Logins do Sistema > login_module_name
    3. Em Propriedades Adicionais, clique em Módulos de Login do JAAS > Novo.
    4. Digite o nome de classe: com.ibm.ws.security.common.auth.module.MapPlatformSubject.
    5. Clique em Aplicar para incluir o novo módulo na lista de módulos de login.
  3. Clique em Segurança > Segurança Global.
  4. Em Autenticação, expanda Java Authentication and Authorization Service e clique em Logins do Sistema > login_module_name.
  5. Em Propriedades Adicionais, clique em Módulos de Login JAAS > Ordem de Configuração e verifique se o novo módulo de mapeamento é fornecido antes do com.ibm.ws.security.common.auth.module.MapPlatformSubject e após o com.ibm.ws.security.server.lm.wsMapDefaultInboundLoginModule.

    O novo módulo de mapeamento deve vir antes de com.ibm.ws.security.common.auth.module.MapPlatformSubject e depois de com.ibm.ws.security.server.lm.wsMapDefaultInboundLoginModule.

  6. Selecione a caixa próxima ao novo módulo de mapeamento e clique em Mover para cima. Quando os módulos de mapeamento estiverem na ordem correta, clique em Aplicar; em seguida, Salvar e Salvar (não se esqueça de selecionar Sincronizar Alterações com Nós se estiver trabalhando com uma célula do WebSphere Application Server, Network Deployment).

O que Fazer Depois

Faça essas alterações para cada um dos módulos de login do sistema necessários para a sua configuração do WebSphere Application Server para z/OS. A escolha dos módulos de login do sistema que são necessários tem como base seu mecanismo de autenticação (SWAM ou LTPA).

Nota: Se o módulo de mapeamento de identidade do SAF instalado tiver propriedades configuráveis, você poderá atualizá-las criando propriedades customizadas no painel de logins do sistema JAAS no console administrativo. Utilize este exemplo para atualizar propriedades, se tiver utilizado o módulo SampleSAFMapping como um protótipo e atualizado a cláusula else para fornecer lógica de mapeamento personalizada. Nesse caso, você deve criar a propriedade customizada useWSPrincipleName e configurá-la como false para a configuração de login do JAAS afetada que utiliza o SampleSAFMappingModule modificado.
  1. Clique em Segurança > Segurança Global.
  2. Em Java Authentication and Authorization Service, clique em Logins de Sistema > login_module_name.
  3. Em Propriedades Adicionais, clique em Módulos de login do JAAS > com.ibm.websphere.security.SampleSAFMappingModule.
  4. Em Propriedades Adicionais, clique em Propriedades Customizadas > Nova.
  5. Digite o nome da propriedade customizada useWSPrincipalName e o valor false.
  6. Clique em Aplicar, Salvar e Salvar.

Repita esse processo para cada um dos módulos de login do sistema que utiliza o SampleSAFMappingModule modificado.


Ícone que indica o tipo de tópico Tópico de Tarefa



Ícone de registro de data e hora Última atualização: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_installsafmapmods
Nome do arquivo: tsec_installsafmapmods.html