Puede utilizar un servidor LDAP de z/OS LDAP
con un back end SDBM para la autenticación de cliente de Rational Team Concert for System z con WebSphere Application
Server. SDBM ofrece autenticación nativa en z/OS con RACF.
Esta tarea es opcional y deberá realizarla el administrador de seguridad de z/OS.
Por qué y cuándo se efectúa esta tarea
En este tema se describen los valores específicos de LDAP que se utilizarán en la configuración. Esta información complementa las instrucciones de configuración de Rational
Team Concert for System
z utilizando LDAP. Para obtener más información,
consulte
RTCz: Gestión de usuarios con el protocolo Lightweight Directory Access (LDAP).
- Configuración de LDAP:
LDAP (Lightweight
Directory Access Protocol ) se configura como back end SDBM de la siguiente manera.
El ejemplo muestra el archivo de configuración LDAP slapd.conf configurado
para SDBM.
listen ldap://:3399
maxConnections 2000
adminDN “profiletype=user”
database sdbm GLDSDBM
suffix “sysplex=yourSysplexName,o=yourOrganization”
sizeLimit 2000
timeLimit 3600
Consulte z/OS Integrated Security Services LDAP Server
Administration and Use para obtener una descripción completa de las palabras clave.
Nota: Observe que en el archivo de configuración, únicamente se especifica
profiletype=user. Esto permite que varios BDN actúen
como nombre distinguido de administrador LDAP.
El BDN se debe especificar en las propiedades del registro de usuarios LDAP en
dentro de la consola de administración.
Todas las solicitudes de seguridad
procedentes de WebSphere se transferirán a RACF (una
vez activada la seguridad global) en el nombre distinguido del administrador LDAP
del nombre distinguido de enlace. El BDNracid debe ser un usuario definido por ACF
con un segmento OMVS válido. Este ID de usuario RACF
debe tener el atributo AUDITOR para todo el sistema.
- Valores de registro de usuarios de WebSphere:
En WebSphere, es necesario configurar algunos valores de seguridad global
para utilizar SDBM LDAP como registro de usuarios.
- En la consola de administración, vaya a y especifique los valores que
se muestran más abajo. La casilla de verificación Identidad de servidor generada automáticamente debe
estar seleccionada.
Nota: La casilla de verificación Ignorar mayúsculas y minúsculas
en la autorización debe estar seleccionada para poder convertir cualquier
ID de usuario o contraseña en minúsculas reenviado a RACF a
mayúsculas.
| Propiedad |
Valor (descripción, real) |
| Nombre de usuario administrativo primario |
ID de usuario RACF de
administradores maestros |
| Tipo |
Personalizado |
| Host |
Dirección IP o URL de LPAR donde LDAP está escuchando |
| Puerto |
Puerto de escucha LDAP como está especificado en slapd.conf |
| Nombre distinguido(DN) base |
sufijo como en slapd.conf (sin las comillas) |
| Nombre distinguido(DN) de enlace |
racfid=BDNracid,profiletype=user,suffix |
| Contraseña de enlace |
contraseña de BDNracid |
- En la configuración del registro de usuarios LDAP avanzado, añada los filtros que
se muestran a continuación:
| Propiedad |
Valor |
| Filtro de usuarios |
racfid=%v |
| Filtro de grupos |
racfid=%v |
| Correlación de ID de usuario |
*:racfid |
| Correlación de ID de grupo |
*:racfid |
| Correlación de ID de miembro de grupo |
racfconnectgroupname:racfgroupuserids |
Ejemplo
Nota: El nombre distinguido de enlace debe ser un ID de usuario RACF con
el atributo
AUDITOR, un segmento
OMVS válido
(específico o implícito por un segmento predeterminado) y ningún segmento
TSO.
No es necesario; por lo tanto, es un paso sencillo para evitar el uso incorrecto de la cuenta BDN.
Utilice una contraseña que no caduque para el ID de usuario BDN con el fin de evitar que la
celda de WebSphere se detenga debido a
errores de autorización o de autenticación internos.
Si las políticas de la organización requieren que esta categoría de
ID de usuario caduque, asegúrese de que cuenta con un proceso in su lugar para
cambiar la contraseña BDN antes de que caduque.