[z/OS]

Authentifizierung mit SAF in IBM HTTP Server (z/OS-Systeme)

Sie können sich an IBM HTTP Server unter z/OS mit der HTTP-Basisauthentifizierung bzw. mit SAF-Clientzertifikaten authentifizieren. Verwenden Sie die SAF-Authentifizierung für die Überprüfung von Benutzer-IDs und Kennwörtern oder Zertifikaten.

Vorbereitende Schritte

Die Anweisungen "mod_authz_default" und "mod_auth_basic" unterstützen die Basisauthentifizierung und Basisberechtigung, die in mod_authnz_saf-Konfigurationen erforderlich sind. Außerdem unterstützt die Anweisung "mod_ibm_ssl" SSL-Clientzertifikate. Wenn Sie die SAF-Authentifizierung verwenden, müssen Sie sicherstellen, dass die ersten drei LoadModule-Anweisungen aus dem folgenden Beispiel aktiviert sind. Wenn Sie SSL-Clientzertifikate verwenden, müssen Sie sicherstellen, dass auch die mod_ibm_ssl.so-Anweisung "LoadModule" aktiviert ist.
LoadModule auth_basic_module modules/mod_auth_basic.so
LoadModule authnz_saf_module modules/mod_authnz_saf.so
LoadModule authz_default_module modules/mod_authz_default.so
# Entfernen Sie das Kommentarzeichen für mod_ibm_ssl, wenn SSL-Unterstützung erforderlich ist,
# z. B. Clientzertifikatsauthentifizierung
#LoadModule ibm_ssl_module modules/mod_ibm_ssl.so
Wenn das Modul "mod_authz_default" von Ihrem Web-Server nicht geladen wird, gibt der Server den Antwortcode 500 an Stelle des Codes 401 zurück, wenn der Benutzer nicht berechtigt ist.

Informationen zu diesem Vorgang

Die SAF-Authentifizierung wird vom Modul "mod_authnz_saf" unterstützt. Mit dem Modul "mod_authnz_saf" können Sie HTTP-Basisauthentifizierung oder Clientzertifikate für Zugriffseinschränkungen verwenden. Benutzer, Gruppen und SSL-Clientzertifikate werden dann in SAF gesucht. Außerdem ermöglicht Ihnen dieses Modul, über die Anweisung "SAFRunAS" den Thread von der Server-ID auf eine andere ID umzustellen, bevor die Anforderung beantwortet wird. Weitere Informationen finden Sie im Information-Center-Artikel zu den SAF-Anweisungen. Informationen zur Migration Ihrer SAF-Anweisungen finden Sie im Artikel zur Migration und Installation von IBM® HTTP Server auf z/OS-Systemen.

Vorgehensweise

  1. Wenn Sie SAFRunAs verwenden, berechtigen Sie die Benutzer-ID von IBM HTTP Server für das Klassenprofil BPX.SERVER FACILITY in RACF, und stellen Sie die Ziel-Benutzer-ID mit einem OMVS-Segment bereit.
  2. Geben Sie die Verzeichnisposition an, für die der Zugriff eingeschränkt werden soll. Beispiel: <Location "/admin-bin">.
  3. Fügen Sie der Datei httpd.conf Anweisungen für das Verzeichnis bzw. die Position, das bzw. die geschützt werden soll, mit Werten hinzu, die für Ihre Umgebung spezifisch sind. Wenn Sie den Zugriff auf Dateien im Verzeichnis /secure auf die Benutzer beschränken möchten, die eine gültige SAF-Benutzer-ID und ein gültiges Kennwort übergeben, sehen Sie sich das folgende Beispiel an.
    <Directory  /secure> 	
    				AuthName protectedrealm_title	
    		AuthType Basic
    		AuthBasicProvider saf 
    		Require valid-user
    </Directory>
    Sie können den Zugriff auch auf der Basis von Benutzer-IDs oder SAF-Gruppenzugehörigkeiten beschränken, indem Sie die Anweisung Require im vorherigen Beispiel wie folgt ersetzen:
    require saf-user BENUTZER-ID
    require saf-group GRUPPENNAME
  4. Optional: Geben Sie "Require saf-user" oder "Require saf-group" an, um den Zugriff auf einen bestimmten SAF-Benutzer oder eine bestimmte SAF-Gruppe zu beschränken.
Taskartikel    

Nutzungsbedingungen für Information Center | Feedback

Letzte Aktualisierung: October 19, 2014 09:53 PM EDT
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=phil&product=ihs-dist&topic=tihs_safconfigz
Dateiname: tihs_safconfigz.html