[z/OS]

在 z/OS 上将 Kerberos 主体映射至系统授权工具 (SAF) 标识

如果在 WebSphere® Application Server 管理控制台的 Kerberos 面板上选择了使用 SAF 用户概要文件的 KERB 段单选按钮,那么必须将本地操作系统用户映射至特定 Kerberos 主体。

开始之前

这些指示信息假设使用 z/OS® Security Server (RACF®)。如果您使用另一款安全性产品,请咨询供应商以了解更多信息。

要查看包含使用 SAF 用户概要文件的 KERB 段单选按钮的管理控制台页面,请单击安全性 > 全局安全性。在“认证”下,单击 Kerberos 配置

缺省情况下,在 Kerberos 管理控制台面板上,“将 Kerberos 主体名称映射至 SAF 标识”中的第一个单选按钮不使用 SAF 概要文件来将 Kerberos 主体映射至 SAF 标识处于选中状态,但不会将 RACMAP 或 KERB 段用于映射。

注: 如果您要使用 z/OS 上的本地操作系统注册表和内置映射模块,来将 Kerberos 主体映射至 SAF 标识,那么必须选中此单选按钮。

如果产品已经具有 JAAS 映射模块,那么“将 Kerberos 主体名称映射至 SAF 标识”中的最后两个单选按钮使用 SAF 用户概要文件的 KERB 段针对分布式标识映射使用 SAF 产品中的 RACMAP 概要文件不应该处于选中状态。

避免故障 避免故障: 如果您选择使用内置映射模块这一选项,那么不应配置其他定制 JAAS 登录模块将 Kerberos 主体映射至 SAF 标识。gotcha

关于此任务

您可以通过两种方法将 Kerberos 主体映射至 SAF 标识,这取决于该 Kerberos 主体是本地主体还是外来主体。如果 Kerberos 主体存在于 RACF 数据库所在的 z/OS 系统的 z/OS KDC 中,那么它是本地主体。

有关使用 ALTUSER 命令来配置 KDC 的更多信息,请参阅 Z/OS V1R7.0 Integrated Security Services Network Authentication Service Administration

在指定本地 Kerberos 主体名称时,不能包括 Kerberos 领域名。

映射本地 Kerberos 主体:

  1. 例如,如果要将 RACF 用户 USER1 映射至本地 Kerberos 主体名称 kerberosUser1(注意,Kerberos 主体名区分大小写),请发出以下 RACF 命令:

    ALTUSER USER1 PASSWORD(security) NOEXPIRED KERB(KERBNAME(kerberosUser1))

  2. 如果计划与 Windows KDC 进行互操作,请通过发出以下 RACF 命令来指定不支持加密类型 DES、DES3 和 DESD:
    ALTUSER USER1 PASSWORD(SECURITY) NOEXPIRED KERB(KERBNAME(kerberosUser1) ENCRYPT(DES NODES3 NODESD))
    避免故障 避免故障: 您应该确保 ALTUSER 命令中指定的受支持加密类型列表与 Kerberos 配置文件 krb5.conf 中指定的受支持加密类型列表一致。例如,如果 krb5.conf 配置文件指定只支持 aes256-cts-hmac-sha1-96,那么 ENCRYPT 操作数应该指定不支持除 AES256 以外的所有加密类型。gotcha
  3. 要验证是否已成功完成上述命令,请发出以下 RACF 命令:

    LISTUSER USER1 KERB NORACF

在输出末尾,以下是所显示的与 Kerberos 相关的信息的示例:
KERB INFORMATION                         
----------------                         
KERBNAME= kerberosUser1                  
KEY VERSION= 001                         
KEY ENCRYPTION TYPE= DES NODES3 NODESD   

应该对 RACF 中每个需要使用 Kerberos 来登录 WebSphere Application Server 的用户发出 ALTUSER 命令。

注: 不会将主体名称转换为大写,并且未包括域名。如果未启用混合大小写密码选项,那么 ALTUSER 命令会将密码转换为大写。如果此选项未生效,那么您在请求获取初始 Kerberos 凭单时,必须确保使用大写的值。有关此选项的更多信息,请参阅使用本地操作系统注册表区分密码大小写。您必须更改用户的密码才能创建 Kerberos 密钥。

映射外来 Kerberos 主体:

您可以将外来域中的各个主体映射至 RACF 中属于它自己的用户标识,也可以将外来领域中的所有主体映射至 RACF 中的同一个用户标识。要将外来 Kerberos 主体映射至 RACF 用户,请在 KERBLINK 类中定义常规资源概要文件。请使用 RDEFINE 和 RALTER 命令来定义和修改每个映射。

注: 注意:KERBLINK 类的概要文件名的字符不会转换为大写,因此,请确保以大写格式输入概要文件名的领域部分并以适当的大小写格式输入外来主体名称。

有关使用 KERBLINK 类的更多信息,请参阅 z/OS Security Server RACF Security Administrator's Guide

  1. 例如,如果要将外来领域 FOREIGN.REALM.IBM.COM 的外来 Kerberos 主体名称 foreignKerberosUser2 映射至 RACF 用户 USER2,请发出以下 RACF 命令:

    RDEFINE KERBLINK /.../FOREIGN.REALM.IBM.COM/foreignKerberosUser2 APPLDATA('USER2')

  2. 要验证是否已成功完成上述命令,请发出以下 RACF 命令:

    RLIST KERBLINK /.../FOREIGN.REALM.IBM.COM/foreignKerberosUser2

所映射的 RACF 标识将显示在 APPLICATION DATA 字段中,如 RLIST 命令的以下示例输出所示:
CLASS      NAME
-----      ----
KERBLINK   /.../FOREIGN.REALM.IBM.COM/foreignKerberosUser2

LEVEL  OWNER      UNIVERSAL ACCESS  YOUR ACCESS  WARNING
-----  --------   ----------------  -----------  -------
00    IBMUSER         NONE              ALTER    NO

INSTALLATION DATA
-----------------
NONE

APPLICATION DATA
----------------
USER2

AUDITING
--------
FAILURES(READ)

NOTIFY
------
NO USER TO BE NOTIFIED

指示主题类型的图标 任务主题



时间戳记图标 最近一次更新时间: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_kerb_zmap
文件名:tsec_kerb_zmap.html