![[z/OS]](../images/ngzos.gif)
更新系统登录配置以执行系统授权工具标识用户映射
使用本任务修改配置以执行系统授权工具 (SAF) 标识映射。
开始之前
注: 如果要使用 SAF 分布式身份映射功能,那么不需要配置映射模块。
关于此任务
必须将映射模块放在 Java™ 认证和授权服务 (JAAS) 配置中,以提供从非本地操作系统注册表到 SAF 用户标识的映射。com.ibm.ws.security.common.auth.module.MapPlatformSubject 登录模块跟在配置中的此映射模块后。可以使用简单 WebSphere® 认证机制 (SWAM) 或轻量级第三方认证 (LTPA) 认证机制执行此操作。
请参阅“选择认证机制”,以了解更多信息。请参阅 Java 认证和授权服务以获取更多信息。
应用程序登录配置不需要更改以修改配置,从而执行 SAF 标识映射。WebSphere 应用程序登录配置条目 WSLogin 调用配置为缺省值的系统登录模块,它在需要 SAF 授权时执行映射。
要修改配置以执行系统授权工具 (SAF) 标识映射,并且如果已配置 WebSphere Application Server,那么必须执行以下步骤。
过程
- 使用 WebSphere Application Server 管理控制台或脚本编制工具来更新必需的系统登录配置。
- 需要的话,请更新适当的用户注册表面板以启用 SAF 授权。
- 如果正在迁移现有的 WebSphere Application Server Network Deployment 安装,那么在对非本地操作系统注册表启用 SAF 授权前,必须将所有节点都更新到支持 SAF 标识映射的服务级别。
结果
下一步做什么
配置了 LTPA 后,如果要将 WebSphere Application Server 注册表映射至 SAF 用户标识,那么必须配置以下系统登录配置条目以提供用户映射:
- WEB_INBOUND
- WEB_INBOUND 登录配置处理 Web 应用程序请求的登录,包括 servlet 和 JavaServer Pages (JSP)。此登录配置与从信任关联拦截器 (TAI)(如果已配置)生成的输出对象交互作用。传递到 WEB_INBOUND 登录配置的主体集可能包含 TAI 生成的对象。
WebSphere Application Server 管理控制台请求和管理功能的子集(包括文件传输)使用此登录配置条目进行认证。
- RMI_INBOUND
- RMI_INBOUND 登录配置处理入站 RMI 的登录请求。通常,这些登录是对 Enterprise JavaBeans (EJB) 文件进行认证访问的请求,当使用 RMI 连接器时,可以作为 Java 管理扩展 (JMX) 请求执行。
- DEFAULT
- DEFAULT 登录配置处理大多数其他协议和内部认证发出的入站登录请求,例如,执行初始认证请求后,z/OS® 控制器和服务方进程之间的通信。
已配置 SWAM 并且您正在将 WebSphere Application Server 用户注册表映射至 SAF 标识时,请配置以下系统登录配置条目以提供用户映射:
- SWAM
- 选择了 SWAM 时,此条目用于所有已认证。