![[z/OS]](../images/ngzos.gif)
Mapeando um Kerberos principal para uma identidade de System Authorization Facility (SAF) em z/OS
Se você escolher o botão de opções Usar segmento KERB de um perfil do usuário SAF no painel do Kerberos do console administrativo do WebSphere Application Server, você deve ter seus usuários OS locais mapeados para um Kerberos principal.
Antes de Iniciar
Para visualizar a página do console administrativo do Kerberos que contém o botão de opções Usar segmento KERB de um perfil do usuário SAF, clique em Segurança> Segurança Global. Em Autenticação, clique em Configuração do Kerberos.
O primeiro botão de opções no painel do console administrativo do Kerberos, sob Mapeando nomes do Kerberos principal para identidades SAF, Não utilize perfis do SAF para mapear Kerberos principais para identidades SAF, está selecionado por padrão, mas não utilizará o segmento RACMAP ou KERB para mapeamento.
Os últimos dois botões de rádio sob Mapeando nomes de Kerberos principal para identidades SAF, Usar o segmento KERB de um perfil do usuário SAF e Usar perfis do RACMAP no produto SAF para mapeamento de identidade distribuída não devem estar selecionados se já tiverem um módulo de mapeamento JAAS.

Sobre Esta Tarefa
Há duas maneiras de se mapear um Kerberos principal para uma identidade SAF, dependendo se o Kerberos principal for local ou estrangeiro. Um Kerberos principal é local quando existe no z/OS KDC do mesmo sistema z/OS que o banco de dados do RACF.
Para obter mais informações sobre como utilizar o comando ALTUSER para configurar o KDC, consulte Z/OS V1R7.0 Integrated Security Services Network Authentication Service Administration.
Você não deve incluir o nome da região do Kerberos ao especificar o nome do Kerberos principal local.
Mapeando um Kerberos principal local:
- Por exemplo, se deseja mapear seu usuário
RACF USER1 para o nome de
kerberosUser1 do Kerberos principal (observe que o nome do Kerberos
principal faz distinção de maiúsculas e minúsculas), emita o seguinte
comando RACF:
ALTUSER USER1 PASSWORD(security) NOEXPIRED KERB(KERBNAME(kerberosUser1))
- Se você planeja interoperar com um
Windows KDC,
especifique que os tipos de criptografia DES, DES3, DESD não são
suportados emitindo o seguinte comando RACF:ALTUSER USER1 PASSWORD(SECURITY) NOEXPIRED KERB(KERBNAME(kerberosUser1) ENCRYPT(DES NODES3 NODESD))
Evitar Problemas: É necessário garantir que a lista de tipos de criptografia suportados especificada no comando ALTUSER esteja consistente com a especificada no arquivo de configuração do Kerberos krb5.conf. Por exemplo, se o arquivo de configuração krb5.conf especificar que apenas aes256-cts-hmac-sha1-96 é suportado, o operando ENCRYPT deverá ter todos os tipos de criptografia configurados como não suportados, exceto para AES256.gotcha
- Para verificar se o comando anterior foi concluído com êxito, emita o seguinte comando RACF:
LISTUSER USER1 KERB NORACF
KERB INFORMATION
----------------
KERBNAME= kerberosUser1
KEY VERSION= 001
KEY ENCRYPTION TYPE= DES NODES3 NODESD
O comando ALTUSER deve ser emitido para todo usuário no RACF que precise efetuar login no WebSphere Application Server utilizando Kerberos.
Mapeando um Kerberos principal estrangeiro:
Você pode mapear cada principal em um domínio estrangeiro de seu próprio ID do usuário no RACF, ou pode mapear todos os principais em um domínio estrangeiro para o mesmo ID do usuário em RACF. Para mapear um Kerberos principal estrangeiro para um usuário RACF, defina um perfil de recurso geral na classe KERBLINK. Cada mapeamento é definido e modificado com o uso dos comandos RDEFINE e RALTER.
Para obter mais informações sobre como usar a classe KERBLINK, consulte o z/OS Security Server RACF Security Administrator's Guide.
- Por exemplo, se você deseja mapear o nome foreignKerberosUser2 do
Kerberos principal estrangeiro do domínio estrangeiro FOREIGN.REALM.IBM.COM
para o usuário USER2 do RACF,
emita o seguinte comando RACF:
RDEFINE KERBLINK /.../FOREIGN.REALM.IBM.COM/foreignKerberosUser2 APPLDATA('USER2')
- Para verificar se o comando anterior foi concluído com êxito, emita o seguinte comando do RACF:
RLIST KERBLINK /.../FOREIGN.REALM.IBM.COM/foreignKerberosUser2
CLASS NAME
----- ----
KERBLINK /.../FOREIGN.REALM.IBM.COM/foreignKerberosUser2
LEVEL OWNER UNIVERSAL ACCESS YOUR ACCESS WARNING
----- -------- ---------------- ----------- -------
00 IBMUSER NONE ALTER NO
INSTALLATION DATA
-----------------
NONE
APPLICATION DATA
----------------
USER2
AUDITING
--------
FAILURES(READ)
NOTIFY
------
NO USER TO BE NOTIFIED