アプリケーション・サーバーは、既存の Resource Access Control
Facility (RACF) バックエンドを使用して z/OS に Lightweight
Access Directory Protocol (LDAP) を構成することでセキュアにすることができます。
この場合、RACF に定義されたネイティブ z/OS セキュリティー設定は、
WebSphere Application Server のセキュリティー環境と統合されます。
始める前に
ここでの手順を実施するには、次のような条件があります。
- z/OS ベースの RACF を使用して構成された LDAP サーバーがあること。この構成について詳しくは、z/OS
Internet Library を参照してください。
- LDAP は z/OS v1r3 以上で使用してください。v1r3 または v1r4 では、
APAR 0A03857 - PTF UA06622 を適用してから以下のステップに進んでください。
- ユーザーは、RACF ユーザー ID で WebSphere セキュリティーにログインし、
パスワードと識別名 (バインド DN) を使用する LDAP によって認証されます。バインド DN は、
RACF ユーザー ID と SDBM サフィックスを LDAP サーバー構成ファイルに
取り込みます。RACF ユーザーが johndoe で、LDAP 構成ファイルの
SDBM セクションのサフィックス値が cn=myRACF であるとすると、
バインド DN は racfid=johndoe, profiletype=user, cn=myRACF になります。
- ユーザーが所属する各 RACF グループは、WebSphere セキュリティー・グループも含め、
ユーザーの LDAP 項目にある多値の racfconnectgroupname 属性に
保管されます。この属性は、ユーザーの DN を基本 DN として基本検索または
サブツリー検索を実行すると戻されます。
- バインド DN は、Special または Auditor 特権を持つ RACF ユーザーを表す必要があります。
必要な RACF 権限について詳しくは、z/OS
Internet Library で、ご使用の z/OS バージョンの「z/OS Security Server
RACF Command Language Reference」を参照してください。
- LDAP デフォルト・スキーマで racfconnectgroupname 属性を定義する
必要があります。
要確認: LDAP サーバー構成ファイルで、
SDBM だけでなく TBDM も定義済みである場合は、TDBM のスキーマが LDAP サーバーの
デフォルト・スキーマになります。TDBM スキーマに
racfconnectgroupname 属性が組み込まれていない場合は、
LDAP サーバー構成ファイルから TDBM を除去するか、
schema.user.ldif ファイルおよび
schema.IBM.ldif ファイルのスキーマを TDBM スキーマに追加します。TDBM と SDBM について
詳しくは、
Native authentication with RACF and Tivoli Access Manager を参照してください。
プロシージャー
- 「セキュリティー」>「管理、アプリケーション、およびインフラストラクチャーの保護」とクリックします。
- 「ユーザー・アカウント・リポジトリー」の下で、「スタンドアロン LDAP レジストリー」を選択し、
「構成」をクリックします。
- 「LDAP サーバーのタイプ」の下で、「カスタム」をクリックします。
- LDAP 環境向けのフィールドをすべて埋めます。詳しくは、Lightweight Directory Access Protocol ユーザー・レジストリーの構成
を参照してください。
ユーザーとグループは基本 DN のサブツリーに入っていなければなりません。
- 「許可検査で大/小文字を区別しない」が選択されていることを確認します。
RACF のユーザー名とグループ名では、大文字小文字の区別がありません。
- 「適用」をクリックしてから、「保管」をクリックします。
- 「追加プロパティー」の下で、「拡張 LDAP ユーザー・レジストリー設定」をクリックします。
- ユーザー・フィルターとグループ・フィルターを racfid=%v に変更します。
- ユーザー ID マップとグループ ID マップを *:racfid. に変更します。
- グループ・メンバー ID マップを racfconnectgroupname:racfgroupuserids に変更します。
- 「適用」をクリックして、「保管」をクリックします。
- 管理の役割をユーザーに割り当てます。 詳しくは、管理の役割へのアクセスの許可
を参照してください。
- WebSphere Application Server を再始動します。
結果
以上で、ご使用の環境は、RACF バックエンドを使用して z/OS の LDAP によって保護されます。