Você pode usar um servidor LDAP z/OS
com um back end SDBM para autenticação de cliente do Rational Team Concert para System z
com o WebSphere Application
Server. O SDBM fornece autenticação nativa no z/OS com RACF.
Esta tarefa é opcional e deve ser executada por seu administrador de segurança do z/OS.
Por Que e Quando Desempenhar Esta Tarefa
Este tópico descreve as configurações de LDAP específicas que seriam usadas nessa configuração. Estas informações complementam as
instruções de configuração para o Rational
Team Concert para System
z usando LDAP. Para obter informações adicionais, consulte
RTCz: Gerenciamento de Usuários com Protocolo LDAP.
- Configuração LDAP:
O protocolo Lightweight Directory Access Protocol (LDAP) é configurado como um back end SDBM da seguinte forma.
O exemplo mostra o arquivo de configuração LDAP slapd.conf configurado para SDBM.
listen ldap://:3399
maxConnections 2000
adminDN “profiletype=user”
database sdbm GLDSDBM
suffix “sysplex=yourSysplexName,o=yourOrganization”
sizeLimit 2000
timeLimit 3600
Consulte z/OS Integrated
Security Services LDAP Server Administration and Use para obter uma descrição
completa de palavras-chave.
Nota: Observe como somente
profiletype=user é especificado no arquivo de configuração. Isto permite que múltiplos BDNs atuem como um AdminDN LDAP.
O BDN deve ser especificado nas propriedades de registro do usuário LDAP sob no console administrativo.
Todas as solicitações de segurança a partir de WebSphere serão transferidas para RACF (depois de a segurança global ter sido ativada) sob o DN do Administrador LDAP do Bind Distinguished Name. O BDNracid deve ser um usuário definido do RACF com um segmento OMVS válido. Este ID de usuário do RACF deve ter o atributo AUDITOR válido em todo o sistema.
- Configurações de registro do usuário do WebSphere:
No WebSphere, algumas configurações de segurança global precisam ser feitas para usar o SDBM LDAP como registro de usuário.
- No console administrativo, vá para e forneça os valores mostrados abaixo. A caixa de seleção Identidade do servidor gerada automaticamente deve estar marcada.
Nota: A caixa de seleção Ignorar diferenciação entre maiúsculas e minúsculas deve ser marcada para converter os ID de usuário e as senhas minúsculas encaminhadas para o RACF para maiúsculas.
| Propriedade |
Valor (descrição, real) |
| Nome de usuário administrativo primário |
ID de usuário do RACF do Administrador Principal |
| Tipo |
Customizado |
| Host |
Endereço IP ou URL de LPAR onde o LDAP esteja atendendo |
| Porta |
Porta de atendimento LDAP conforme especificado em slapd.conf |
| Nome distinto (DN) da base |
sufixo como em slapd.conf (sem aspas) |
| Nome distinto (DN) de ligação |
racfid=BDNracid,profiletype=user,suffix |
| Senha de ligação |
senha de BDNracid |
- Nas configurações de registro de usuário LDAP Avançado, inclua os filtros mostrados a seguir:
| Propriedade |
Valor |
| Filtro de usuário |
racfid=%v |
| Filtro de grupo |
racfid=%v |
| Mapa de ID de usuário |
*:racfid |
| Mapa de ID de grupo |
*:racfid |
| Mapa de ID do membro do grupo |
racfconnectgroupname:racfgroupuserids |
Exemplo
Nota: O Nome Distinto de Ligação deve ser um ID de usuário do RACF com o atributo
AUDITOR, um segmento
OMVS válido (específico ou implícito através de um segmento padrão) e nenhum segmento
TSO. Ele não é necessário, assim é uma etapa fácil evitar o uso incorreto da conta do BDN.
Use uma senha sem expiração para o ID de usuário do BDN para evitar que a célula WebSphere trave por causa de falhas internas de autenticação e autorização.
Se suas políticas da organização exigem que esta categoria de IDs de usuário expirem,
assegure-se de ter um processo ativo para alterar a senha do BDN antes dela expirar.