[z/OS]

Mapeando um Kerberos principal para uma identidade de System Authorization Facility (SAF) em z/OS

Se você escolher o botão de opções Usar segmento KERB de um perfil do usuário SAF no painel do Kerberos do console administrativo do WebSphere Application Server, você deve ter seus usuários OS locais mapeados para um Kerberos principal.

Antes de Iniciar

Estas instruções presumem o uso de z/OS Security Server (RACF). Se você utilizar outro produto de segurança, consulte o fornecedor para obter informações adicionais.

Para visualizar a página do console administrativo do Kerberos que contém o botão de opções Usar segmento KERB de um perfil do usuário SAF, clique em Segurança> Segurança Global. Em Autenticação, clique em Configuração do Kerberos.

O primeiro botão de opções no painel do console administrativo do Kerberos, sob Mapeando nomes do Kerberos principal para identidades SAF, Não utilize perfis do SAF para mapear Kerberos principais para identidades SAF, está selecionado por padrão, mas não utilizará o segmento RACMAP ou KERB para mapeamento.

Nota: Esse botão de opções deve ser selecionado se você estiver usando ambos, o Registro do sistema operacional local no z/OS e o módulo de mapeamento integrado, para mapear Kerberos principais para identidades SAF.

Os últimos dois botões de rádio sob Mapeando nomes de Kerberos principal para identidades SAF, Usar o segmento KERB de um perfil do usuário SAF e Usar perfis do RACMAP no produto SAF para mapeamento de identidade distribuída não devem estar selecionados se já tiverem um módulo de mapeamento JAAS.

Evitar Problemas Evitar Problemas: Se você selecionar a opção para usar o módulo de mapeamento integrado, não deverá configurar outros módulos de login JAAS customizados para mapear o principal do Kerberos para uma identidade SAF.gotcha

Sobre Esta Tarefa

Há duas maneiras de se mapear um Kerberos principal para uma identidade SAF, dependendo se o Kerberos principal for local ou estrangeiro. Um Kerberos principal é local quando existe no z/OS KDC do mesmo sistema z/OS que o banco de dados do RACF.

Para obter mais informações sobre como utilizar o comando ALTUSER para configurar o KDC, consulte Z/OS V1R7.0 Integrated Security Services Network Authentication Service Administration.

Você não deve incluir o nome da região do Kerberos ao especificar o nome do Kerberos principal local.

Mapeando um Kerberos principal local:

  1. Por exemplo, se deseja mapear seu usuário RACF USER1 para o nome de kerberosUser1 do Kerberos principal (observe que o nome do Kerberos principal faz distinção de maiúsculas e minúsculas), emita o seguinte comando RACF:

    ALTUSER USER1 PASSWORD(security) NOEXPIRED KERB(KERBNAME(kerberosUser1))

  2. Se você planeja interoperar com um Windows KDC, especifique que os tipos de criptografia DES, DES3, DESD não são suportados emitindo o seguinte comando RACF:
    ALTUSER USER1 PASSWORD(SECURITY) NOEXPIRED KERB(KERBNAME(kerberosUser1) ENCRYPT(DES NODES3 NODESD))
    Evitar Problemas Evitar Problemas: É necessário garantir que a lista de tipos de criptografia suportados especificada no comando ALTUSER esteja consistente com a especificada no arquivo de configuração do Kerberos krb5.conf. Por exemplo, se o arquivo de configuração krb5.conf especificar que apenas aes256-cts-hmac-sha1-96 é suportado, o operando ENCRYPT deverá ter todos os tipos de criptografia configurados como não suportados, exceto para AES256.gotcha
  3. Para verificar se o comando anterior foi concluído com êxito, emita o seguinte comando RACF:

    LISTUSER USER1 KERB NORACF

A seguir há um exemplo das informações relacionadas ao Kerberos que são exibidas no final da saída:
KERB INFORMATION                         
----------------                         
KERBNAME= kerberosUser1                  
KEY VERSION= 001                         
KEY ENCRYPTION TYPE= DES NODES3 NODESD   

O comando ALTUSER deve ser emitido para todo usuário no RACF que precise efetuar login no WebSphere Application Server utilizando Kerberos.

Nota: O nome do proprietário não é convertido em letras maiúsculas e o nome da região não é incluído. Se a opção de senha composta por letras maiúsculas e minúsculas não estiver ativada, o comando ALTUSER converterá a senha em letras maiúsculas. Se essa opção não estiver em vigor, você deverá assegurar-se de que o valor em maiúsculo seja utilizado ao solicitar um registro Kerberos inicial. Para obter mais informações sobre essa opção, leia sobre Senha com Distinção entre Maiúsculas e Minúsculas Utilizando um Registro de Sistema Operacional Local. Você deve alterar a senha para o usuário a fim de criar a chave secreta do Kerberos.

Mapeando um Kerberos principal estrangeiro:

Você pode mapear cada principal em um domínio estrangeiro de seu próprio ID do usuário no RACF, ou pode mapear todos os principais em um domínio estrangeiro para o mesmo ID do usuário em RACF. Para mapear um Kerberos principal estrangeiro para um usuário RACF, defina um perfil de recurso geral na classe KERBLINK. Cada mapeamento é definido e modificado com o uso dos comandos RDEFINE e RALTER.

Nota: Nota: Os caracteres do nome do perfil da classe KERBLINK não são convertidos em maiúscula, portanto, certifique-se de inserir a parte do nome do perfil da região em maiúscula e o nome do principal estrangeiro com as letras corretas.

Para obter mais informações sobre como usar a classe KERBLINK, consulte o z/OS Security Server RACF Security Administrator's Guide.

  1. Por exemplo, se você deseja mapear o nome foreignKerberosUser2 do Kerberos principal estrangeiro do domínio estrangeiro FOREIGN.REALM.IBM.COM para o usuário USER2 do RACF, emita o seguinte comando RACF:

    RDEFINE KERBLINK /.../FOREIGN.REALM.IBM.COM/foreignKerberosUser2 APPLDATA('USER2')

  2. Para verificar se o comando anterior foi concluído com êxito, emita o seguinte comando do RACF:

    RLIST KERBLINK /.../FOREIGN.REALM.IBM.COM/foreignKerberosUser2

O ID do RACF mapeado é exibido no campo APPLICATION DATA como na saída de exemplo a seguir do comando RLIST:
CLASS      NAME
-----      ----
KERBLINK   /.../FOREIGN.REALM.IBM.COM/foreignKerberosUser2

LEVEL  OWNER      UNIVERSAL ACCESS  YOUR ACCESS  WARNING
-----  --------   ----------------  -----------  -------
00    IBMUSER         NONE              ALTER    NO

INSTALLATION DATA
-----------------
NONE

APPLICATION DATA
----------------
USER2

AUDITING
--------
FAILURES(READ)

NOTIFY
------
NO USER TO BE NOTIFIED

Ícone que indica o tipo de tópico Tópico de Tarefa



Ícone de registro de data e hora Última atualização: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_kerb_zmap
Nome do arquivo: tsec_kerb_zmap.html