[z/OS]

安装并配置 WebSphere Application Server 的定制系统授权工具映射模块

执行本任务通过管理控制台将定制“系统授权工具”(SAF) 映射模块添加到某个系统登录模块。

开始之前

要使用可插拔登录模块执行 Java™ Platform, Enterprise Edition (Java EE) 标识至资源访问控制设施 (RACF®) 用户的映射,您必须配置可插拔映射模块,然后在相应 Java 认证和授权服务 (JAAS) 系统登录配置中配置 WebSphere® Application Server for z/OS 提供的模块 com.ibm.ws.security.common.auth.module.MapPlatformSubject。当已配置 SAF 授权与操作系统线程同步时,此方法使安装能够将活动的 WebSphere Application Server 注册表配置成独立的轻量级目录访问协议 (LDAP) 注册表或独立的定制注册表。

在任何平台上的联合存储库功能下,WebSphere Application Server 都不支持本地操作系统注册表。因此,SAF 管理的 RACF 注册表在联合存储库功能下不受支持。

更新: SAF 管理的 RACF 注册表在联合存储库功能下受支持。在前发行版中,不受支持。要配置 SAF 映射模块以将联合存储库与 SAF 用户注册表适配器搭配使用,从而进行 SAF 授权,请参阅“配置联合存储库的定制系统授权工具映射模块”。

在继续前,请确保您知道如何编写映射模块来获取 SAF 标识。有关更多信息,请参阅使用非本地操作系统编写定制系统授权工具 (SAF) 映射模块。如果您使用的不是样本,那么必须构建相关类并将它们安装到单元中每个节点(包括单元中的 Deployment Manager 节点)的 单元中每个节点的 <WAS_HOME>/classes 目录,其中包括单元中的 Deployment Manager 节点。如果启用了 Java 2 安全性,请确保更新 server.policy 文件以提供适当的许可权。

注: 如果要使用 SAF 分布式身份映射功能,那么不需要配置映射模块。

关于此任务

必须将定制 SAF 映射模块(com.ibm.websphere.security.SampleSAFMappingModule 或客户编写的映射模块)添加到下列每个系统登录模块条目中,并且必须按显示系统登录模块的顺序手动将它更改为倒数第二个位置:
  • 对于简单 WebSphere 认证机制 (SWAM),请将该条目添加到 SWAM 登录模块。
    注:WebSphere Application Server V9.0 中,已不推荐使用 SWAM,将来的发行版中将移除此认证机制。
  • 对于轻量级第三方认证 (LTPA),请将该条目添加到 WEB_INBOUNDRMI_INBOUNDDEFAULT 登录模块。

    LTPA 是 WebSphere Application Server V9.0 的缺省认证机制。

注: 对于基本配置,如果您选择 SWAM 作为认证机制,请更新 SWAM 条目。但是,如果您计划使用 LTPA 作为认证机制,请设置全部 4 个系统登录模块条目。对于 WebSphere Application Server Network Deployment 配置,您只需要配置 LTPA 认证机制配置条目。

过程

  1. 配置定制映射模块:
    1. 单击安全性 > 全局安全性
    2. 在“Java 认证和授权服务”下,单击系统登录 > login_module_name
    3. 在“其他属性”下,单击 JAAS 登录模块 > 新建
    4. 模块类名文件中输入定制登录模块的类名。(对于交付的样本模块,请使用 com.ibm.websphere.security.SampleSAFMappingModule)。
    5. 单击应用以将新模块添加到登录模块列表。
  2. 配置提供的 com.ibm.ws.security.common.auth.module.MapPlatformSubject 登录模块:
    1. 单击安全性 > 全局安全性
    2. 在“Java 认证和授权服务”下,单击系统登录 > login_module_name
    3. 在“其他属性”下,单击 JAAS 登录模块 > 新建
    4. 输入类名:com.ibm.ws.security.common.auth.module.MapPlatformSubject
    5. 单击应用以将新模块添加到登录模块列表。
  3. 单击安全性 > 全局安全性
  4. 在“认证”下,展开 Java 认证和授权服务并单击系统登录 > login_module_name
  5. 在“其他属性”下,单击 JAAS 登录模块 > 设置顺序,并验证 com.ibm.ws.security.common.auth.module.MapPlatformSubject 之前 com.ibm.ws.security.server.lm.wsMapDefaultInboundLoginModule 之后的新映射模块。

    新的映射模块必须在 com.ibm.ws.security.common.auth.module.MapPlatformSubject 之前 com.ibm.ws.security.server.lm.wsMapDefaultInboundLoginModule 之后。

  6. 选中新的映射模块旁边的框并单击上移。当映射模块的顺序正确时,请单击应用,然后单击保存,并再次单击保存(如果您正在使用 WebSphere Application Server Network Deployment 单元,请确保选择使更改与节点同步)。

下一步做什么

对每个系统登录模块进行 WebSphere Application Server for z/OS® 配置所需的更改。需要选择哪些系统登录模块取决于认证机制(SWAM 或 LTPA)。

注: 如果您安装的 SAF 标识映射模块具有可配置的属性,那么可通过在管理控制台的 JAAS 系统登录面板中创建定制属性对可配置属性进行更新。如果您使用 SampleSAFMapping 模块作为原型并更新了 else 子句以提供定制映射逻辑,请使用本示例来更新属性。在这种情况下,您必须创建 useWSPrincipleName 定制属性,并对每个使用修改后的 SampleSAFMappingModule 的受影响 JAAS 登录配置将该属性设置为 false
  1. 单击安全性 > 全局安全性
  2. 在“Java 认证和授权服务”下,单击系统登录 > login_module_name
  3. 在“其他属性”下,单击 JAAS 登录模块 > com.ibm.websphere.security.SampleSAFMappingModule
  4. 在“其他属性”下,单击定制属性 > 新建
  5. 输入定制属性名 useWSPrincipalName 和值 false
  6. 单击应用保存保存

对使用修改后的 SampleSAFMappingModule 的每个系统登录模块重复此过程。


指示主题类型的图标 任务主题



时间戳记图标 最近一次更新时间: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_installsafmapmods
文件名:tsec_installsafmapmods.html