![[z/OS]](../images/ngzos.gif)
在 z/OS 上将 Kerberos 主体映射至系统授权工具 (SAF) 标识
如果在 WebSphere® Application Server 管理控制台的 Kerberos 面板上选择了使用 SAF 用户概要文件的 KERB 段单选按钮,那么必须将本地操作系统用户映射至特定 Kerberos 主体。
开始之前
要查看包含使用 SAF 用户概要文件的 KERB 段单选按钮的管理控制台页面,请单击安全性 > 全局安全性。在“认证”下,单击 Kerberos 配置。
缺省情况下,在 Kerberos 管理控制台面板上,“将 Kerberos 主体名称映射至 SAF 标识”中的第一个单选按钮不使用 SAF 概要文件来将 Kerberos 主体映射至 SAF 标识处于选中状态,但不会将 RACMAP 或 KERB 段用于映射。
如果产品已经具有 JAAS 映射模块,那么“将 Kerberos 主体名称映射至 SAF 标识”中的最后两个单选按钮使用 SAF 用户概要文件的 KERB 段和针对分布式标识映射使用 SAF 产品中的 RACMAP 概要文件不应该处于选中状态。

关于此任务
您可以通过两种方法将 Kerberos 主体映射至 SAF 标识,这取决于该 Kerberos 主体是本地主体还是外来主体。如果 Kerberos 主体存在于 RACF 数据库所在的 z/OS 系统的 z/OS KDC 中,那么它是本地主体。
有关使用 ALTUSER 命令来配置 KDC 的更多信息,请参阅 Z/OS V1R7.0 Integrated Security Services Network Authentication Service Administration。
在指定本地 Kerberos 主体名称时,不能包括 Kerberos 领域名。
映射本地 Kerberos 主体:
- 例如,如果要将 RACF 用户 USER1 映射至本地 Kerberos 主体名称
kerberosUser1(注意,Kerberos 主体名区分大小写),请发出以下 RACF 命令:
ALTUSER USER1 PASSWORD(security) NOEXPIRED KERB(KERBNAME(kerberosUser1))
- 如果计划与 Windows KDC 进行互操作,请通过发出以下 RACF 命令来指定不支持加密类型 DES、DES3 和 DESD:ALTUSER USER1 PASSWORD(SECURITY) NOEXPIRED KERB(KERBNAME(kerberosUser1) ENCRYPT(DES NODES3 NODESD))
避免故障: 您应该确保 ALTUSER 命令中指定的受支持加密类型列表与 Kerberos 配置文件 krb5.conf 中指定的受支持加密类型列表一致。例如,如果 krb5.conf 配置文件指定只支持 aes256-cts-hmac-sha1-96,那么 ENCRYPT 操作数应该指定不支持除 AES256 以外的所有加密类型。gotcha
- 要验证是否已成功完成上述命令,请发出以下 RACF 命令:
LISTUSER USER1 KERB NORACF
KERB INFORMATION
----------------
KERBNAME= kerberosUser1
KEY VERSION= 001
KEY ENCRYPTION TYPE= DES NODES3 NODESD
应该对 RACF 中每个需要使用 Kerberos 来登录 WebSphere Application Server 的用户发出 ALTUSER 命令。
映射外来 Kerberos 主体:
您可以将外来域中的各个主体映射至 RACF 中属于它自己的用户标识,也可以将外来领域中的所有主体映射至 RACF 中的同一个用户标识。要将外来 Kerberos 主体映射至 RACF 用户,请在 KERBLINK 类中定义常规资源概要文件。请使用 RDEFINE 和 RALTER 命令来定义和修改每个映射。
有关使用 KERBLINK 类的更多信息,请参阅 z/OS Security Server RACF Security Administrator's Guide。
- 例如,如果要将外来领域 FOREIGN.REALM.IBM.COM 的外来 Kerberos 主体名称 foreignKerberosUser2 映射至
RACF 用户 USER2,请发出以下 RACF 命令:
RDEFINE KERBLINK /.../FOREIGN.REALM.IBM.COM/foreignKerberosUser2 APPLDATA('USER2')
- 要验证是否已成功完成上述命令,请发出以下 RACF 命令:
RLIST KERBLINK /.../FOREIGN.REALM.IBM.COM/foreignKerberosUser2
CLASS NAME
----- ----
KERBLINK /.../FOREIGN.REALM.IBM.COM/foreignKerberosUser2
LEVEL OWNER UNIVERSAL ACCESS YOUR ACCESS WARNING
----- -------- ---------------- ----------- -------
00 IBMUSER NONE ALTER NO
INSTALLATION DATA
-----------------
NONE
APPLICATION DATA
----------------
USER2
AUDITING
--------
FAILURES(READ)
NOTIFY
------
NO USER TO BE NOTIFIED