Puede realizar la autenticación en IBM® HTTP
Server en z/OS utilizando la
autenticación básica HTTP o los certificados de cliente con el producto de seguridad System
Authorization Facility (SAF). Utilice la autenticación SAF para realizar la verificación
de los ID de usuario y las contraseñas o los certificados.
Antes de empezar
Las directivas mod_authz_default y mod_auth_basic proporcionan
soporte básico de autenticación y autorización, necesario en las
configuraciones de mod_authnz_saf. Asimismo, la directiva mod_ibm_ssl
proporciona soporte para certificados de cliente SSL. Si utiliza la
autenticación SAF, asegúrese de que se activan las tres primeras directivas
LoadModule del siguiente ejemplo. Si utiliza certificados de cliente SSL,
asegúrese de que también se active la directiva mod_ibm_ssl.so LoadModule.
LoadModule auth_basic_module modules/mod_auth_basic.so
LoadModule authnz_saf_module modules/mod_authnz_saf.so
LoadModule authz_default_module modules/mod_authz_default.so
# Quite el carácter de comentario de mod_ibm_ssl si se necesita algún tipo de soporte SSL,
# como la autenticación de certificado de cliente
#LoadModule ibm_ssl_module modules/mod_ibm_ssl.so
Si el servidor web no carga el módulo mod_authz_default,
el servidor devuelve un código de respuesta 500 en lugar de 401 si el
usuario no está autorizado.
Acerca de esta tarea
El módulo mod_authnz_saf proporciona la autenticación SAF. El
módulo mod_authnz_saf permite la utilización de la autenticación básica
HTTP o certificados de cliente para restringir el acceso buscando
usuarios, grupos y certificados de cliente SSL en SAF. Este módulo también
le permite conmutar la hebra del ID de servidor a otro ID
antes
de responder a la petición mediante la directiva SAFRunAS. Para obtener
más información, consulte el tema del centro de información sobre directivas
SAF. Asimismo, consulte el tema sobre la migración y la instalación de
IBM
HTTP Server en sistemas
z/OS
para obtener información sobre la migración de directivas
SAF.
Procedimiento
- Si utiliza SAFRunAs, permita el ID de usuario de IBM HTTP
Server para
el perfil de la clase BPX.SERVER FACILITY en RACF, y proporcione el id
de destino con un segmento OMVS.
- Determine la ubicación del directorio al que desea limitar el acceso.
Por ejemplo: <Location "/admin-bin">.
- Añada directivas en el archivo httpd.conf
al directorio o la
ubicación para que se proteja con valores
específicos del entorno. Si desea restringir el acceso a los archivos bajo el
directorio /secure a aquellos usuarios que proporcionen
un ID de usuario y una contraseña de SAF válidos, utilice el siguiente
ejemplo.
<Directory /secure>
AuthName protectedrealm_title
AuthType Basic
AuthBasicProvider saf
Require valid-user
</Directory>
También puede restringir el acceso
basándose en el ID de usuario o la pertenencia al grupo SAF sustituyendo
la directiva
Require en el ejemplo anterior, del modo siguiente:
require saf-user USERID
require saf-group GROUPNAME
- Opcional: Especifique Require saf-user o Require
saf-group para restringir el acceso a un determinado grupo o usuario
SAF.