Standardmäßig ist der Deployment Manager von WebSphere Application Server so konfiguriert, dass wsadmin- und andere Clients zur Angabe von Benutzer-ID und Kennwort aufgefordert werden. Wenn Sie beabsichtigen, RMI-Verbindungen (Remote Method Invocation, Methodenaufruf über Remotezugriff) zu verwenden, um eine Verbindung zwischen Deployment Manager und Clients mit unterschiedlichen z/OS-Images herzustellen, und Sie möchten die Berechtigungsnachweise für den Client verwenden, ohne sie angeben zu müssen, dann muss für den Administrator, der den Job ausführt, ein persönliches Zertifikat definiert werden.
Vorgehensweise
- Definieren Sie ein persönliches Zertifikat für den Administrator und fügen Sie dieses Zertifikat der Administratorschlüsselringdatei hinzu.
Sie können die folgende Vorlage verwenden, um aus den RACF-Anweisungen ein persönliches Zertifikat für den Administrator zu erstellen und es in der Schlüsselringdatei des Administrators zu speichern.
RACDCERT ID (zAdminUserid) GENCERT SUBJECTSDN(CN('zAdminUserid') O('IBM')
OU('zCellShortName')) WITHLABEL('zSAFProfilePrefix.zAdminUserid')
SIGNWITH(CERTAUTH LABEL('zSSLCaKeylabel')) SIZE(2048)
NOTAFTER(DATE(zCaAuthorityExpirationDate))
RACDCERT ID(zAdminUserid) CONNECT (LABEL('zSAFProfilePrefix.zAdminUserid')
RING(zDefaultSAFKeyringName) DEFAULT)
Ersetzen Sie jedes Vorkommen von
zAdminUserid,
zCellShortName,
zSAFProfilePrefix,
zSSLCaKeylabel,
zCaAuthorityExpirationDate,
und
zDefaultSAFKeyringName in der Vorlage durch die entsprechenden Werte, die mit Profile Management Tool für die Ziel-Deployment-Manager-Definition definiert wurden. Wenn für den Deployment Manager kein SAF-Profilpräfix definiert wurde, entfernen Sie den Punkt (.), der jedem Vorkommen von
zSAFProfilePrefix folgt.
Weitere Informationen zum Einbinden von Knoten ohne Angabe einer Benutzer-ID und eines Kennworts finden Sie unter Authentifizierungsprotokolleinstellungen für eine Clientkonfiguration.
- Überprüfen Sie die Clientauthentifizierung.
Wenn die globale Sicherheit in der Network-Deployment-Zielzelle aktiviert ist, aktualisieren
Sie die folgende Datei in den Konfigurationsimages für den Deployment Manager und dem einzubindenden Knoten, um anzugeben, dass anstelle der Angabe einer Benutzer-ID und eines Kennworts die Clientberechtigungsnachweise für die Authentifizierung verwendet werden sollen:
${zConfigMountPoint}/${zWasServerDir}/profiles/default/properties/sas.client.props
Beachten Sie, dass es sich hier um eine ASCII-Datei handelt.
Die Eigenschaft
com.ibm.CORBA.loginSource=prompt in der Datei sas.client.props, die sich in jedem Konfigurationsimage befindet, muss in com.ibm.CORBA.loginSource=none geändert werden.
Der Benutzer, der den Knoteinbindungsjob (BOWMNAN oder BBOWADDN) ausführt, muss vollständige Administratorberechtigungen für die Network-Deployment-Zielzelle haben, da die Clientberechtigungsnachweise für die Authentifizierung verwendet werden. Befindet sich der Deployment Manager in einem anderen z/OS-Image als dem einzubindenden Knoten, müssen die folgenden zusätzlichen Eigenschaften in der Datei
sas.client.props für den einzubindenden Knoten von
com.ibm.CSI.performTLClientAuthenticationRequired=false
com.ibm.CSI.performTLClientAuthenticationSupported=false
com.ibm.CSI.performTransportAssocSSLTLSSupported=false
geändert werden in
com.ibm.CSI.performTLClientAuthenticationRequired=true
com.ibm.CSI.performTLClientAuthenticationSupported=true
com.ibm.CSI.performTransportAssocSSLTLSSupported=true