Por padrão, o gerenciador de implementação do WebSphere Application Server é configurado para solicitar ao wsadmin e a outros clientes um ID do usuário e senha. Se você planeja usar conexões remote method invocation (RMI) para se conectar a um gerenciador de implementação a partir de clientes que executam em imagens do z/OS diferentes e desejar usar as credenciais de autenticação para o cliente sem que seja necessário especificá-las, um certificado pessoal deverá ser definido para o administrador que está executando a tarefa.
Procedimento
- Defina um certificado pessoal para o administrador e conecte esse certificado com o conjunto de chaves do administrador.
O modelo a seguir pode ser usado para construir instruções RACF para criar um certificado pessoal para o administrador e colocá-lo no conjunto de chaves do administrador.
RACDCERT ID (zAdminUserid) GENCERT SUBJECTSDN(CN('zAdminUserid') O('IBM')
OU('zCellShortName')) WITHLABEL('zSAFProfilePrefix.zAdminUserid')
SIGNWITH(CERTAUTH LABEL('zSSLCaKeylabel')) SIZE(2048)
NOTAFTER(DATE(zCaAuthorityExpirationDate))
RACDCERT ID(zAdminUserid) CONNECT (LABEL('zSAFProfilePrefix.zAdminUserid')
RING(zDefaultSAFKeyringName) DEFAULT)
Substitua cada ocorrência de
zAdminUserid,
zCellShortName,
zSAFProfilePrefix,
zSSLCaKeylabel,
zCaAuthorityExpirationDate e
zDefaultSAFKeyringName no modelo pelos valores correspondentes que foram definidos para a definição do gerenciador de implementação de destino com a Ferramenta de Gerenciamento de Perfil. Se um prefixo do perfil do SAF não tiver sido definido para o gerenciador de implementação, remova o ponto (.)
após cada ocorrência de
zSAFProfilePrefix.
Para obter mais informações sobre como federar um nó sem especificar um ID do usuário e senha, consulte Configurações do protocolo de autenticação para uma configuração de cliente.
- Verifique a autenticação de cliente.
Se a segurança global estiver ativada na célula de Implementação de Rede de destino, atualize o arquivo a seguir nas imagens de configuração para o gerenciador de implementação e o nó a ser federado para indicar que as credenciais do cliente devem ser usadas para autenticação (em vez de especificar um ID do usuário e uma senha):
${zConfigMountPoint}/${zWasServerDir}/profiles/default/properties/sas.client.props
Observe que este é um arquivo ASCII.
A propriedade com.ibm.CORBA.loginSource=prompt no arquivo sas.client.props que reside em cada imagem de configuração deve ser alterada para com.ibm.CORBA.loginSource=none.
O usuário que executa a tarefa de federação de nó (BBOWMNAN ou BBOWADDN) deve possuir privilégios administrativos integrais para a célula de Implementação de Rede (porque as credenciais do cliente estão sendo usadas para autenticação).
Se o gerenciador de implementação residir em uma imagem do z/OS diferente do nó a ser federado, inclua as seguintes propriedade adicionais no arquivo
sas.client.props para o nó a ser federado:
com.ibm.CSI.performTLClientAuthenticationRequired=false
com.ibm.CSI.performTLClientAuthenticationSupported=false
com.ibm.CSI.performTransportAssocSSLTLSSupported=false
must
be changed to:
com.ibm.CSI.performTLClientAuthenticationRequired=true
com.ibm.CSI.performTLClientAuthenticationSupported=true
com.ibm.CSI.performTransportAssocSSLTLSSupported=true