HTTP 基本認証またはクライアント証明書を
System Authorization Facility (SAF) セキュリティー製品とともに使用して、
z/OS® で IBM® HTTP Server に対する認証を行うことができます。ユーザー ID およびパスワード、または証明書の
検査に SAF 認証を使用します。
始める前に
mod_authz_default ディレクティブおよび mod_auth_basic ディレクティブにより、
mod_authnz_saf 構成で必要とされる基本的な認証および権限が
サポートされます。さらに、mod_ibm_ssl ディレクティブにより、
SSL クライアント証明書がサポートされます。SAF 認証を使用する場合、
以下のサンプルの最初の 3 つの LoadModule ディレクティブを確実に
アクティブ化します。SSL クライアント証明書を使用する場合、
mod_ibm_ssl.so LoadModule ディレクティブも確実にアクティブ化します。
LoadModule auth_basic_module modules/mod_auth_basic.so
LoadModule authnz_saf_module modules/mod_authnz_saf.so
LoadModule authz_default_module modules/mod_authz_default.so
# Uncomment mod_ibm_ssl if any type of SSL support is required,
# such as client certificate authentication
#LoadModule ibm_ssl_module modules/mod_ibm_ssl.so
ご使用の Web サーバーに mod_authz_default モジュールが
ロードされておらず、ユーザーが許可されない場合、Web サーバーから 500 の応答コードが
401 の代わりに戻されます。
このタスクについて
SAF 認証は mod_authnz_saf モジュールによって提供されます。
mod_authnz_saf モジュールにより、HTTP 基本認証またはクライアント証明書を使用すると、
SAF 内のユーザー、グループ、および SSL クライアント証明書の検索によるアクセスを
制限することができます。このモジュールを使用すると、SAFRunAS ディレクティブを使用して要求に応答する前に、サーバー ID から別の ID にスレッドを切り替えることができます。詳しくは、
SAF ディレクティブに関するインフォメーション・センターのトピックを参照してください。また、SAF ディレクティブの移行については、
z/OS システムでの IBM HTTP
Server の移行およびインストールについてのトピックを
参照してください。
手順
- SAFRunAs を使用する場合、IBM HTTP Server ユーザー ID を
RACF 内の BPX.SERVER FACILITY クラス・プロファイルに対して許可し、ターゲット・ユーザー ID に
OMVS セグメントを設定します。
- アクセスを制限するディレクトリー・ロケーションを決定します。例えば、
<Location "/admin-bin"> とします。
- httpd.conf ファイル内のディレクティブを
ディレクトリーまたはロケーションに追加して、ご使用の環境固有の値で
保護します。 /secure ディレクトリー配下の
ファイルに対するアクセスを、有効な SAF ユーザー ID およびパスワードを入力するユーザーのみに
制限する場合、この例を検討します。
<Directory /secure>
AuthName protectedrealm_title
AuthType Basic
AuthBasicProvider saf
Require valid-user
</Directory>
また、ユーザー ID または SAF グループのメンバーである
ことを基にアクセスを制限できます。これには、以下のように、先の例の
Require ディレクティブを
置き換えます。
require saf-user USERID
require saf-group GROUPNAME
- オプション: Require saf-user または Require
saf-group を指定して、特定の SAF ユーザーまたはグループにアクセスを制限します。