Anmeldemodul hinzufügen

  1. Navigieren Sie zu Sicherheit > Globale Sicherheit.
  2. Erweitern Sie den Eintrag Java Authentication and Authorization Service unter der Überschrift Authentifizierung und wählen Sie Systemanmeldungen aus.
  3. Wählen Sie den entsprechenden Alias aus der Liste aus. Das Anmeldemodul sollte für die Aliasse DEFAULT, WEB_INBOUND und RMI_INBOUND konfiguriert sein.
  4. Klicken Sie auf die Schaltfläche Neu, um ein neues Anmeldemodul zu konfigurieren.
  5. Setzen Sie das Feld Name der Modulklasse auf curam.util.security.CuramLoginModule.
  6. Wählen Sie die Option Proxy für Anmeldemodul verwenden aus.
  7. Wählen Sie im Feld Authentifizierungsstrategie REQUIRED aus.
  8. Klicken Sie auf die Schaltfläche OK, um das Hinzufügen des neuen Anmeldemoduls zu bestätigen.
  9. Wählen Sie das neu hinzugefügte curam.util.security.CuramLoginModule aus der Liste aus.
  10. Wählen Sie den Link Angepasste Eigenschaften unter der Überschrift Weitere Eigenschaften aus.
  11. Klicken Sie auf die Schaltfläche Neu, um die erforderlichen Eigenschaften wie unten aufgeführt hinzuzufügen.
    Tabelle 1. Angepasste 'CuramLoginModule'-Eigenschaften

    Name

    Beispielwert

    Beschreibung

    exclude_usernames

    websphere, db2admin

    Erforderlich. Eine Liste von Benutzernamen, die von der Authentifizierung ausgeschlossen werden sollen. Der Standardbegrenzer ist ein Komma, was aber mit dem Begrenzer 'exclude_usernames_delimiter' überschrieben werden kann. In dieser Liste sollten die WebSphere Application Server for z/OS-Benutzer mit Verwaltungsaufgaben und der Datenbankbenutzer enthalten sein. Alle hier aufgeführten Benutzer sollten in der WebSphere Application Server for z/OS-Benutzerregistry definiert sein.

    exclude_usernames_delimiter

    |

    Optional. Ein Begrenzungszeichen für die Benutzernamenliste, die in 'exclude_usernames' bereitgestellt wird. In Fällen, wo die Benutzernamen eingebettete Kommas enthalten, wie bei LDAP-Benutzern, kann es hilfreich sein, wenn der Begrenzer nicht das standardmäßige Komma ist.

    login_trace

    true

    Optional. Diese Eigenschaft sollte auf true gesetzt sein, um den Debugger für den Authentifizierungsprozess auszuführen. Wenn sie auf true gesetzt ist, bewirkt der Aufruf des Anmeldemoduls, dass Tracing-Daten zur Datei SystemOut.log von WebSphere Application Server for z/OS hinzugefügt werden.

    module_name

    DEFAULT, WEB_INBOUND oder RMI_INBOUND

    Optional. Diese Eigenschaft sollte auf DEFAULT, WEB_INBOUND oder RMI_INBOUND gesetzt sein, je nach der Konfiguration, für die das Anmeldemodul gerade definiert wird. Sie wird nur dann verwendet, wenn 'login_trace' für Tracing-Zwecke auf true gesetzt ist.

    check_identity_only

    true

    Optional. Wenn diese Eigenschaft auf true gesetzt ist, führt das Anmeldemodul nicht die üblichen Authentifizierungsverifizierungen durch. Stattdessen stellt es nur fest, ob der Benutzer in der Datenbanktabelle vorhanden ist. In diesem Fall wird die konfigurierte WebSphere Application Server for z/OS-Benutzerregistry nicht umgangen, sondern nach dem Anmeldemodul abgefragt. Diese Option ist für Fälle gedacht, in denen LDAP-Unterstützung erforderlich ist oder ein alternativer Authentifizierungsmechanismus verwendet werden soll.

    user_registry_enabled

    true

    Optional. Diese Eigenschaft wird zum Überschreiben des Verhaltens verwendet, die Benutzerregistry zu umgehen. Ist sie auf 'true' gesetzt, so wird die WebSphere Application Server for z/OS-Benutzerregistry während des Authentifizierungsprozesses abgefragt. Ist sie auf 'false' gesetzt, so wird die WebSphere Application Server for z/OS-Benutzerregistry nicht abgefragt.

    Anmerkung: Wenn Sie 'Authentifizierung nur anhand der Identität' angeben und LDAP verwenden, müssen unter Umständen zusätzliche Konfigurationsschritte ausgeführt werden. Nähere Informationen dazu finden Sie unter Besondere Konfigurationsschritte bei der Verwendung von 'Authentifizierung nur anhand der Identität' und LDAP.

    user_registry_enabled_types

    EXTERNAL

    Optional. Mit dieser Eigenschaft wird eine durch Kommas begrenzte Liste externer Benutzertypen angegeben, die anhand der WebSphere Application Server for z/OS-Benutzerregistry (z.B. LDAP) verarbeitet werden. Weitere Informationen zur Verarbeitung der WebSphere Application Server for z/OS-Benutzerregistry finden Sie in WebSphere Application Server-Benutzerregistry.

    user_registry_disabled_types

    EXTGEN,EXTAUTO

    Optional. Mit dieser Eigenschaft wird eine durch Kommas begrenzte Liste externer Benutzertypen angegeben, die nicht anhand der WebSphere Application Server for z/OS-Benutzerregistry (z.B. LDAP) verarbeitet werden. Weitere Informationen zur Verarbeitung der WebSphere Application Server for z/OS-Benutzerregistry finden Sie in WebSphere Application Server-Benutzerregistry.
  12. Klicken Sie auf OK, um das Hinzufügen des neuen Anmeldemoduls zu bestätigen.
Übergeordnetes Thema: JAAS-Anmeldemodul für das System einrichten