![[z/OS]](../images/ngzos.gif)
进行配置以便使用基于 z/OS 的资源访问控制设施来保护轻量级目录访问协议用户注册表
可以通过在 z/OS® 上使用现有的资源访问控制设施 (RACF®) 后端来配置轻量级目录访问协议 (LDAP),从而保护应用程序服务器。这会将在 RACF 中定义的本机 z/OS 安全性设置与 WebSphere® Application Server 安全性环境相集成。
开始之前
实现这些步骤时存在以下要求:
- 必须使用基于 z/OS 的 RACF 来配置 LDAP 服务器。请参阅 z/OS 因特网库,以了解有关此配置的更多信息。
- 必须在 z/OS v1r3 或更高版本上使用 LDAP。对于 v1r3 或 v1r4,必须先应用 APAR 0A03857 - PTF UA06622,然后再遵循这些步骤。
- 用户使用 RACF 用户标识登录 WebSphere 安全组并使用密码和专有名称(即绑定专有名称)向 LDAP 进行认证。此绑定专有名称将 RACF 用户标识和 SDBM 后缀包含在 LDAP 服务器配置文件中。如果 RACF 用户是 johndoe,且 LDAP 配置文件的 SDBM 部分中的后缀值是 cn=myRACF,那么绑定专有名称是:racfid=johndoe, profiletype=user, cn=myRACF。
- 用户所属的每个 RACF 组,其中包括 WebSphere 安全组,都存储在用户的 LDAP 条目的多值 racfconnectgroupname 属性中。使用用户的专有名称作为基本专有名称来执行基本或子树搜索时,将返回此属性。
- 绑定专有名称必须表示具有特殊或审计员特权的 RACF 用户。有关必需 RACF 权限的更多信息,请参阅 z/OS 因特网库中适用于您的 z/OS 版本的 z/OS Security Server RACF Command Language Reference。
- 必须在 LDAP 缺省模式中定义 racfconnectgroupname 属性。切记: 除了 SDBM 之外,如果还在 LDAP 服务器配置文件中定义了 TDBM,那么 TDBM 中的模式是 LDAP 服务器的缺省模式。如果 TDBM 模式不包含 racfconnectgroupname 属性,请从 LDAP 服务器配置文件中移除 TDBM 或将 schema.user.ldif 文件和 schema.IBM.ldif 文件中的模式添加到 TDBM 模式。
过程
- 单击安全性 > 全局安全性。
- 在“用户帐户存储库”下,选择独立 LDAP 注册表,然后单击配置。
- 在“LDAP 服务器的类型”下,单击定制。
- 完成 LDAP 环境的字段。有关更多信息,请参阅配置轻量级目录访问协议用户注册表。 用户和组必须在基本专有名称的子树中。
- 确保选择了授权时忽略大小写。 RACF 用户名和组名不区分大小写。
- 单击应用,然后单击保存。
- 在“其他属性”下,单击高级轻量级目录访问协议 (LDAP) 用户注册表设置。
- 将用户过滤器和组过滤器更改为 racfid=%v。
- 将用户标识映射和组标识映射更改为 *:racfid。
- 将组成员标识映射更改为 racfconnectgroupname:racfgroupuserids。
- 单击应用,然后单击保存。
- 将管理角色指定给用户。 请参阅 授予管理角色访问权,以了解更多信息。
- 重新启动 WebSphere Application Server。