[z/OS]

IBM HTTP Server での SAF による認証 (z/OS システム)

HTTP 基本認証またはクライアント証明書を System Authorization Facility (SAF) セキュリティー製品とともに使用して、 z/OS® で IBM® HTTP Server に対する認証を行うことができます。ユーザー ID およびパスワード、または証明書の 検査に SAF 認証を使用します。

始める前に

mod_authz_default ディレクティブおよび mod_auth_basic ディレクティブにより、 mod_authnz_saf 構成で必要とされる基本的な認証および権限が サポートされます。さらに、mod_ibm_ssl ディレクティブにより、 SSL クライアント証明書がサポートされます。SAF 認証を使用する場合、 以下のサンプルの最初の 3 つの LoadModule ディレクティブを確実に アクティブ化します。SSL クライアント証明書を使用する場合、 mod_ibm_ssl.so LoadModule ディレクティブも確実にアクティブ化します。
LoadModule auth_basic_module modules/mod_auth_basic.so
LoadModule authnz_saf_module modules/mod_authnz_saf.so
LoadModule authz_default_module modules/mod_authz_default.so
# Uncomment mod_ibm_ssl if any type of SSL support is required,
# such as client certificate authentication
#LoadModule ibm_ssl_module modules/mod_ibm_ssl.so
ご使用の Web サーバーに mod_authz_default モジュールが ロードされておらず、ユーザーが許可されない場合、Web サーバーから 500 の応答コードが 401 の代わりに戻されます。

このタスクについて

SAF 認証は mod_authnz_saf モジュールによって提供されます。 mod_authnz_saf モジュールにより、HTTP 基本認証またはクライアント証明書を使用すると、 SAF 内のユーザー、グループ、および SSL クライアント証明書の検索によるアクセスを 制限することができます。このモジュールを使用すると、SAFRunAS ディレクティブを使用して要求に応答する前に、サーバー ID から別の ID にスレッドを切り替えることができます。詳しくは、 SAF ディレクティブに関するインフォメーション・センターのトピックを参照してください。また、SAF ディレクティブの移行については、 z/OS システムでの IBM HTTP Server の移行およびインストールについてのトピックを 参照してください。

手順

  1. SAFRunAs を使用する場合、IBM HTTP Server ユーザー ID を RACF 内の BPX.SERVER FACILITY クラス・プロファイルに対して許可し、ターゲット・ユーザー ID に OMVS セグメントを設定します。
  2. アクセスを制限するディレクトリー・ロケーションを決定します。例えば、 <Location "/admin-bin"> とします。
  3. httpd.conf ファイル内のディレクティブを ディレクトリーまたはロケーションに追加して、ご使用の環境固有の値で 保護します。 /secure ディレクトリー配下の ファイルに対するアクセスを、有効な SAF ユーザー ID およびパスワードを入力するユーザーのみに 制限する場合、この例を検討します。
    <Directory  /secure> 	
    				AuthName protectedrealm_title	
    		AuthType Basic
    		AuthBasicProvider saf
    		Require valid-user
    </Directory>
    また、ユーザー ID または SAF グループのメンバーである ことを基にアクセスを制限できます。これには、以下のように、先の例の Require ディレクティブを 置き換えます。
    require saf-user USERID
    require saf-group GROUPNAME
  4. オプション: Require saf-user または Require saf-group を指定して、特定の SAF ユーザーまたはグループにアクセスを制限します。
タスク・トピック    

インフォメーション・センターに関するご使用条件 | フィードバック

最終更新: October 08, 2014 06:19 PM EDT
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=phil&product=ihs-dist&topic=tihs_safconfigz
ファイル名: tihs_safconfigz.html