[z/OS]

进行配置以便使用基于 z/OS 的资源访问控制设施来保护轻量级目录访问协议用户注册表

可以通过在 z/OS® 上使用现有的资源访问控制设施 (RACF®) 后端来配置轻量级目录访问协议 (LDAP),从而保护应用程序服务器。这会将在 RACF 中定义的本机 z/OS 安全性设置与 WebSphere® Application Server 安全性环境相集成。

开始之前

实现这些步骤时存在以下要求:
  • 必须使用基于 z/OS 的 RACF 来配置 LDAP 服务器。请参阅 z/OS 因特网库,以了解有关此配置的更多信息。
  • 必须在 z/OS v1r3 或更高版本上使用 LDAP。对于 v1r3 或 v1r4,必须先应用 APAR 0A03857 - PTF UA06622,然后再遵循这些步骤。
  • 用户使用 RACF 用户标识登录 WebSphere 安全组并使用密码和专有名称(即绑定专有名称)向 LDAP 进行认证。此绑定专有名称将 RACF 用户标识和 SDBM 后缀包含在 LDAP 服务器配置文件中。如果 RACF 用户是 johndoe,且 LDAP 配置文件的 SDBM 部分中的后缀值是 cn=myRACF,那么绑定专有名称是:racfid=johndoe, profiletype=user, cn=myRACF
  • 用户所属的每个 RACF 组,其中包括 WebSphere 安全组,都存储在用户的 LDAP 条目的多值 racfconnectgroupname 属性中。使用用户的专有名称作为基本专有名称来执行基本或子树搜索时,将返回此属性。
  • 绑定专有名称必须表示具有特殊审计员特权的 RACF 用户。有关必需 RACF 权限的更多信息,请参阅 z/OS 因特网库中适用于您的 z/OS 版本的 z/OS Security Server RACF Command Language Reference。
  • 必须在 LDAP 缺省模式中定义 racfconnectgroupname 属性。
    切记: 除了 SDBM 之外,如果还在 LDAP 服务器配置文件中定义了 TDBM,那么 TDBM 中的模式是 LDAP 服务器的缺省模式。如果 TDBM 模式不包含 racfconnectgroupname 属性,请从 LDAP 服务器配置文件中移除 TDBM 或将 schema.user.ldif 文件和 schema.IBM.ldif 文件中的模式添加到 TDBM 模式。

过程

  1. 单击安全性 > 全局安全性
  2. 在“用户帐户存储库”下,选择独立 LDAP 注册表,然后单击配置
  3. 在“LDAP 服务器的类型”下,单击定制
  4. 完成 LDAP 环境的字段。有关更多信息,请参阅配置轻量级目录访问协议用户注册表 用户和组必须在基本专有名称的子树中。
  5. 确保选择了授权时忽略大小写 RACF 用户名和组名不区分大小写。
  6. 单击应用,然后单击保存
  7. 在“其他属性”下,单击高级轻量级目录访问协议 (LDAP) 用户注册表设置
  8. 将用户过滤器和组过滤器更改为 racfid=%v
  9. 将用户标识映射和组标识映射更改为 *:racfid
  10. 将组成员标识映射更改为 racfconnectgroupname:racfgroupuserids
  11. 单击应用,然后单击保存
  12. 将管理角色指定给用户。 请参阅 授予管理角色访问权,以了解更多信息。
  13. 重新启动 WebSphere Application Server。

结果

现在,您的环境已受到在 z/OS 上使用 RACF 后端进行配置的 LDAP 的保护。

指示主题类型的图标 任务主题



时间戳记图标 最近一次更新时间: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_config_racf
文件名:tsec_config_racf.html