![[z/OS]](../images/ngzos.gif)
Mapeamento de Identidade Distribuída Usando SAF
O recurso de mapeamento de identidade distribuída usando o System Authorization Facility (SAF) para z/OS fornece alguns benefícios principais e é novo nesta versão do WebSphere Application Server.
Este release do WebSphere Application Server permite usar a segurança do z/OS System Authorization Facility (SAF) para associar um ID de usuário do SAF a uma identidade distribuída. Ao usar esse recurso, você pode manter as informações de identificação originais de um usuário para fins de auditoria e ter menos para configurar no WebSphere Application Server.
Seu produto de segurança do z/OS deve estar na versão apropriada que suporta o mapeamento de identidade distribuída. A versão correta do SAF é a 7760 ou mais recente. Para o Resource Access Control Facility (RACF), você deve estar na versão z/OS 1.11 ou mais recente.
- Se estiver usando um registro de S.O. não-Local, como o Lightweight Directory Access Protocol (LDAP), e estiver usando a opção de autorização SAF, de sincronização de identidade de encadeamento z/OS (SyncToThread) ou de identidade de encadeamento RunAs do gerenciador de conexões, poderá mapear diretamente o usuário LDAP para um usuário SAF no produto de segurança z/OS com os perfis RACMAP SAF. Os módulos de mapeamento não são necessários, portanto, não configure esses módulos no WebSphere Application Server. Os registros de auditoria do SMF contêm o nome de usuário do LDAP e o ID de usuário do SAF mapeado.
- Se você estiver usando um registro do S.O. Local, e estiver usando Kerberos ou Simple and Protected GSS-API Negotiation (SPNEGO), poderá mapear diretamente o Kerberos principal para um usuário do SAF no produto de segurança do z/OS. Os módulos de mapeamento não são necessários, portanto, não configure esses módulos no WebSphere Application Server. Os registros de auditoria do SMF contêm o Kerberos principal e o ID de usuário do SAF mapeado.
Benefícios ao Usar o Mapeamento de Identidade Distribuída
- Quando um usuário é auditorado no sistema operacional z/OS usando SMF, o registro de auditoria contém a identidade distribuída e o ID de usuário do SAF mapeado. Isso melhora a interoperabilidade de plataforma cruzada e fornece valor para ambientes de aplicativos centrados e heterogêneos do host.
- O mapeamento de identidades distribuídas é tratado pelo administrador de segurança do z/OS. Não há necessidade de configurar módulos de mapeamento na configuração do WebSphere Application Server.
Quando Usar o Mapeamento de Identidade Distribuída
- Cenário 1: Quando possuir um registro de S.O.
não-Local configurado para uma opção de autorização SAF, de sincronização
de identidade de encadeamento z/OS
(SyncToThread) ou de identidade de encadeamento RunAs do gerenciador de conexões, poderá usar esse recurso para mapear
seu usuário de registro para um usuário SAF. Em releases anteriores, este processo precisava ser feito com os módulos de login do Java™ Authentication
and Authorization Service (JAAS) que eram configurados no WebSphere Application Server.
As vantagens de usar o mapeamento de identidade distribuída são que os registros de auditoria SMF conterão o usuário distribuído e o usuário do SAF e que o mapeamento é controlado pelo administrador de Segurança do z/OS.
Ao mapear um usuário do registro S.O. não Local, o nome do usuário distribuído é o valor retornado pela API WSCredential.getUniqueSecurityName() do WebSphere Application Server. O nome da região é determinado pela API WSCredential.getRealmName() do WebSphere Application Server.
Para ativar o mapeamento de identidade distribuída para esse cenário, nenhuma mudança adicional é necessária na configuração de segurança.
Nota: Para o cenário 1, se estiver usando o registro de Repositórios Associados configurado com a ponte UserRegistry, ainda poderá tirar proveito do recurso de mapeamento de identidade distribuída do SAF. Se efetuar login com um usuário do SAF, ele não será mapeado. Entretanto, se efetuar login com um usuário distribuído, ele será mapeado para um usuário do SAF. - Cenário 2: Quando você tiver um registro do S.O. Local configurado
na plataforma do z/OS com Kerberos
ou SPNEGO ativado, poderá mapear o nome do Kerberos principal para um usuário
do SAF usando o recurso de mapeamento de identidade distribuída. Em releases anteriores,
você poderia usar um módulo de login de mapeamento do JAAS que foi configurado
no WebSphere Application
Server ou o segmento KERB do usuário do SAF no produto de segurança do z/OS.
A vantagem de usar o mapeamento de identidade distribuída é que os registros SMF conterão o usuário do Kerberos e o usuário do SAF mapeado.
Ao mapear um usuário do Kerberos, o nome do usuário distribuído é o nome do Kerberos principal. O nome da região é o nome da região do Kerberos do Key Distribution Center (KDC) do Kerberos. Para obter informações adicionais sobre como criar filtros de identidade distribuída no produto de segurança do z/OS, leia a configuração dos filtros de identidade distribuída no tópico de segurança do z/OS.
Para ativar o mapeamento de identidade distribuída para este cenário:- Navegue até Segurança > Segurança Global > Configuração do Kerberos.
- Selecione o botão radial de Usar os perfis RACMAP no produto SAF para mapeamento de identidade distribuída.
Para fazer essa mudança com script wsadmin, configure a propriedade customizada de segurança com.ibm.websphere.security.krb.useRACMAPMappingToSAF=true.
- Cenário 3: Quando você tiver um registro do S.O. Local configurado, poderá mapear um certificado declarado ou
um nome distinto declarado para um usuário do SAF.
Em liberações anteriores, o primeiro atributo do nome DN asserido era mapeado para um usuário SAF. A vantagem de usar o mapeamento de identidade distribuída para um DN asserido é a flexibilidade agregada para mapear usuários, o mapeamento é controlado pelo administrador de segurança do z/OS e os registros de auditoria SMF conterão o nome DN asserido e o ID do SAF mapeado. Em liberações anteriores, um certificado asserido era mapeado para um usuário SAF usando a função RACDCERT MAP no SAF. A vantagem de usar o mapeamento de identidade distribuída é que os registros de auditoria SMF conterão o nome DN do certificado e o ID do usuário SAF mapeado. Além disso, o banco de dados SAF economiza espaço por não precisar armazenar os certificados digitais.
Quando mapear um certificado asserido ou um nome DN no SAF, o usuário distribuído será o nome DN e o nome da região será a região do SAF atual.
Quando mapear um certificado asserido ou um nome DN no SAF, o usuário distribuído será o nome DN e o nome da região será a região do SAF atual.
Para ativar o mapeamento de identidade distribuída para esse cenário:- Navegue até Segurança > Segurança Global > Comunicações de Entrada CSIv2.
- Para Configurações posteriores do atributo, selecione Certifiado de mapa e DN usando o mapeamento de identidade distribuída do SAF.
Para fazer essa mudança com script wsadmin, configure a propriedade customizada de segurança com.ibm.websphere.security.certdn.useRACMAPMappingToSAF=true.
Cenário 4: Quando você tiver um registro do S.O. Local configurado, poderá mapear um certificado recebido na camada de transporte CSIv2 para um usuário do SAF.
Em liberações anteriores, um certificado era mapeado para um usuário SAF usando a função RACDCERT MAP no SAF. A vantagem de usar o mapeamento de identidade distribuída é que os registros de auditoria SMF conterão o nome DN do certificado e o ID do usuário SAF mapeado.
Quando mapear um certificado recebido na camada de transporte do CSIv2, o usuário distribuído será o nome DN e o nome da região será a região do SAF atual. Além disso, o banco de dados SAF economiza espaço por não precisar armazenar os certificados digitais.
Para ativar o mapeamento de identidade distribuída para este cenário:- Navegue até Segurança > Segurança Global > Comunicações de Entrada CSIv2.
- Para Configurações de camada de transporte, selecione Certificado de mapa usando o mapeamento de identidade distribuída do SAF.
Para fazer essa mudança com script wsadmin, configure a propriedade customizada de segurança com.ibm.websphere.security.certificate.useRACMAPMappingToSAF=true.
Nota: Se seu nome DN tiver um espaço em branco entre os atributos, você deverá aplicar o RACF APAR OA34258, ou a PTF UA59873, e o SAF APAR OA34259, ou a PTF UA59871, para analisar corretamente os espaços em branco.
Cenário | Versão do SAF | Registro do Usuário | SAF authorization=true ou SyncToThread=true ou runAs=true? | Módulo de mapeamento do JAAS configurado? | Kerberos ou SPNEGO ativado |
---|---|---|---|---|---|
Cenário 1 | 7760 ou mais recente (z/OS 1.11 ou mais recente para RACF) | S.O. não Local | yes | no | N/D |
Cenário 2 | 7760 ou mais recente (z/OS 1.11 ou mais recente para RACF | S.O. Local | yes | no | yes |
Cenário 3 | 7760 ou mais recente (z/OS 1.11 ou mais recente para RACF | S.O. Local | yes | no | N/D |
![]() |
![]() |
![]() |
![]() |
![]() |
![]() |
Considerações ao configurar o mapeamento de identidade distribuída
Ao configurar o mapeamento de identidade distribuída, você deve concluir as seguintes ações:
- Determine a versão do SAF. Você deve, primeiramente, assegurar-se de que a versão de segurança do z/OS esteja no SAF versão 7760 ou mais recente. Se você estiver usando RACF, deverá estar na versão z/OS 1.11 ou mais recente. Uma nova AdminTask, isSAFVersionValidForIdentityMapping(), é fornecida para ajudar a determinar isso. Além disso, a mensagem informativa SECJ6233I é impressa no log da tarefa do servidor, indicando a versão atual do SAF.
- Remova módulos de login do
JAAS desnecessários. Você deve assegurar-se de que
o módulo JAAS de login com.ibm.ws.security.common.auth.module.MapPlatformSubject
não esteja configurado na configuração do WebSphere. Em releases anteriores
do WebSphere Application
Server, é assim que o mapeamento de um usuário distribuído para um usuário do SAF era concluído.
Contanto que esse módulo de login esteja configurado, a configuração de segurança
continuará a usar o método anterior para mapear um usuário distribuído
para um usuário do SAF. Se estiver configurando uma nova célula
do WebSphere Application Server Versão 8.0, esse módulo de login do JAAS não será
configurado por padrão, portanto, nenhuma ação adicional é necessária. Entretanto, se você tiver migrado sua célula
para o WebSphere Application
Server Versão 8.0, o módulo de login JAAS provavelmente existirá e deverá ser removido. É possível usar o console administrativo ou script wsadmin para remover esse módulo de login. Também é possível usar o script Jython
fornecido, removeMapPlatformSubject.py, que procura e remove
esse módulo de login das entradas de login apropriadas. Para obter informações adicionais
sobre como usar esse script, leia o tópico do script removeMapPlatformSubject.Para excluir o módulo de login do JAAS no console administrativo, conclua as seguintes etapas:
- Clique em Segurança > Segurança Global > Java Authentication and Authorization Service > Logins de Sistema.
- Clique em DEFAULT.
- Marque a caixa de seleção para o módulo JAAS de login com.ibm.ws.security.common.auth.module.MapPlatformSubject e, em seguida, clique em Excluir.
- Clique em OK.
- Repita as etapas 2 a 4 para os logins do Sistema de WEB_INBOUND, RMI_INBOUND e SWAM_ZOSMAPPING.
- Mapeie usuários do SAF no produto de segurança
do z/OS. Use o comando RACMAP no produto de segurança do z/OS
para configurar um filtro de identidade distribuída. Use esse filtro
para mapear múltiplos usuários distribuídos para um usuário do SAF, ou você pode ter
um mapeamento de um para um. O filtro de identidade distribuída consiste em
duas partes: o nome do usuário distribuído e o nome da região do registro
em que o usuário distribuído existe. Nota: Em alguns casos, alterações nos filtros RACMAP não afetam imediatamente o servidorWebSphere. Leia "Ativando alterações no filtro RACMAP para um usuário autenticado" no tópico Configuração de filtros de identidade distribuída na segurança do z/OS para obter mais detalhes.
Ao configurar o recurso de mapeamento de identidade distribuída do SAF no nível de domínio de segurança, observe o nome da região para esse domínio. É possível optar por fornecer um nome de região ou usar o nome de região gerado pelo sistema. Independente de qual opção escolher, esse será o nome da região que deve ser usado ao definir os mapeamentos no registro do SAF.
- Faça as mudanças necessárias na configuração de segurança. Leia os cenários 1-4 para determinar as mudanças adicionais que talvez seja necessário fazer na configuração de segurança.