Vous pouvez vous authentifier auprès du serveur IBM® HTTP Server on z/OS à l'aide de l'authentification HTTP de base ou des certificats client avec le produit de sécurité SAF (System Authorization Facility). Utilisez l'authentification SAF pour la vérification des ID et mots de passe utilisateur ou des certificats.
Avant de commencer
Les directives mod_authz_default et mod_auth_basic assurent la prise en charge de l'authentification et de l'autorisation de base qui est nécessaire dans les
configurations mod_authnz_saf. De surcroît, la directive mod_ibm_ssl assure la prise en charge des certificats client SSL. Si vous utilisez l'authentification SAF, assurez-vous que les trois premières directives LoadModule de l'exemple suivant sont activées. Si vous utilisez des certificats client SSL, assurez-vous que la directive mod_ibm_ssl.so LoadModule est également activée.
LoadModule auth_basic_module modules/mod_auth_basic.so
LoadModule authnz_saf_module modules/mod_authnz_saf.so
LoadModule authz_default_module modules/mod_authz_default.so
# Retirez le commentaire mod_ibm_ssl si un type de support SSL est requis,
# tel que l'authentification par certificat client
#LoadModule ibm_ssl_module modules/mod_ibm_ssl.so
Si le module mod_authz_default n'est pas chargé par votre serveur Web, le serveur renvoie un code de réponse 500 au lieu de 401 si l'utilisateur n'est pas autorisé.
Pourquoi et quand exécuter cette tâche
L'authentification SAF est fournie par le module mod_authnz_saf.
Le module
mod_authnz_saf permet d'utiliser l'authentification HTTP de base ou de certificats client pour limiter l'accès en recherchant des utilisateurs, des groupes et des certificats client SSL dans SAF. Ce module vous permet également de transférer l'unité d'exécution
d'un ID serveur à un autre ID avant de répondre à la demande
en utilisant la directive SAFRunAS. Pour plus d'informations, consultez la rubrique du centre de documentation consacré aux directives SAF. Consultez également la rubrique consacrée à la migration et à l'installation d'IBM HTTP
Server sur les systèmes z/OS pour obtenir des informations sur la migration et l'installation de vos directives SAF.
Procédure
- Si vous utilisez SAFRunAs, affectez l'ID utilisateur IBM HTTP Server au profil de classe BPX.SERVER FACILITY dans RACF et fournissez l'ID utilisateur cible avec un segment OMVS.
- Déterminez l'emplacement de répertoire pour lequel vous voulez limiter l'accès. Par exemple : <Location "/admin-bin">.
- Ajoutez des directives du fichier httpd.conf au répertoire ou à l'emplacement pour qu'il soit protégé avec des valeurs spécifiques à votre environnement. Si vous souhaitez restreindre l'accès aux fichiers sous le répertoire /secure aux seuls utilisateurs qui fournissent un ID utilisateur et un mot de passe SAF valides, examinez l'exemple suivant.
<Directory /secure>
AuthName titre_domaine_protégé
AuthType Basic
AuthBasicProvider saf
Require valid-user
</Directory>
Vous pouvez également restreindre l'accès en fonction de l'ID utilisateur ou de l'appartenance à un groupe SAF en remplaçant la directive
Require de l'exemple précédent, de la façon suivante :
require saf-user USERID
require saf-group NOMGROUPE
- Facultatif : Indiquez Require saf-user ou Require saf-group pour restreindre l'accès à un utilisateur ou à un groupe SAF spécifique.