Vous pouvez utiliser un serveur LDAP z/OS avec un système dorsal SDBM pour
l'authentification du client Rational Team Concert for System z avec WebSphere Application
Server. SDBM offre une authentification native sous z/OS avec RACF.
Cette tâche est facultative et doit être effectuée par votre administrateur de la
sécurité z/OS.
A propos de cette tâche
Cette rubrique décrit les paramètres LDAP spécifiques à utiliser dans cette configuration. Ces informations viennent en complément des instructions de configuration de Rational
Team Concert for System
z à l'aide de LDAP. Pour plus d'informations, voir
RTCz : Gestion des utilisateurs avec le protocole LDAP (Lightweight Directory Access Protocol).
- Configuration de LDAP :
LDAP (Lightweight Directory Access Protocol ) est configuré comme système dorsal SDBM de la manière
suivante.
L'exemple ci-après illustre le fichier de configuration de LDAP slapd.conf
configuré pour SDBM.
listen ldap://:3399
maxConnections 2000
adminDN “profiletype=user”
database sdbm GLDSDBM
suffix “sysplex=yourSysplexName,o=yourOrganization”
sizeLimit 2000
timeLimit 3600
Pour une description complète des mots clés, voir le document z/OS Integrated
Security Services LDAP Server Administration and Use.
Remarque : Notez que seul
profiletype=user est spécifié dans le fichier
de configuration. Cela permet à plusieurs noms distinctifs de liaison d'agir comme nom
d'administration LDAP.
Le nom distinctif de liaison doit être spécifié dans les propriétés du registre
d'utilisateurs LDAP sous
dans la console d'administration.
Toutes les demandes de sécurité de WebSphere seront transférées vers RACF (une fois
la sécurité globale activée) sous le nom distinctif de l'administrateur LDAP du
nom distinctif de liaison. BDNracid doit correspondre à un utilisateur défini par RACF avec un segment OMVS valide. Cet ID utilisateur RACF doit posséder l'attribut
système AUDITOR.
- Paramètres du registre d'utilisateurs WebSphere :
Dans WebSphere, certains paramètres de sécurité globale doivent être définis pour
utiliser le SDBM LDAP comme registre d'utilisateurs.
- Dans la console d'administration, accédez à et spécifiez les
valeurs indiquées ci-après. La case Identité de serveur généré
automatiquement doit être cochée.
Remarque : La case Ignorer la casse pour l'autorisation doit être
cochée pour convertir tout ID utilisateur ou mot de passe en minuscules transmis à RACF en majuscules.
| Propriété |
Valeur (description, réelle) |
| Nom d'administrateur principal |
ID utilisateur RACF des administrateurs maître |
| Type |
Configuration personnalisée |
| Hôte |
Adresse IP ou URL de la partition logique où LDAP écoute |
| Port |
Port d'écoute de LDAP, tel que spécifié dans slapd.conf |
| Nom distinctif de base |
suffixe comme dans slapd.conf (sans les guillemets) |
| Nom distinctif de liaison |
racfid=BDNracid,profiletype=user,suffix |
| Mot de passe de liaison |
mot de passe de BDNracid |
- Dans les paramètres avancés du registre d'utilisateurs LDAP, ajoutez les filtres,
comme indiqué ci-après.
| Propriété |
Valeur |
| Filtre d'utilisateur |
racfid=%v |
| Filtre de groupe |
racfid=%v |
| Mappe des ID utilisateur |
*:racfid |
| Mappe des ID groupe |
*:racfid |
| Mappe des ID membre du groupe |
racfconnectgroupname:racfgroupuserids |
Exemple
Remarque : Le nom distinctif de liaison doit correspondre à un ID utilisateur RACF possédant l'attribut
AUDITOR,
un segment
OMVS valide (spécifique ou impliqué par un segment par défaut) et aucun
segment
TSO. Cette propriété n'est pas requise et représente donc une étape facile pour éviter une
mauvaise utilisation du compte BDN.
Utilisez un mot de passe qui n'est pas arrivé à expiration pour l'ID utilisateur du
nom distinctif de liaison pour empêcher la cellule WebSphere de s'arrêter en raison
d'incidents d'authentification et d'autorisation internes.
Si les règles de votre organisation requièrent que cette catégorie d'ID utilisateur
arrive à expiration, vérifiez qu'un processus a été défini pour modifier le mot de
passe du nom distinctif de liaison avant qu'il n'arrive à expiration.