您可以利用具有 SDBM 後端的 z/OS® LDAP 伺服器,搭配 WebSphere® Application Server 進行 Rational Team Concert™ for System z® 的用戶端鑑別。
SDBM 利用 RACF®,在 z/OS 上提供原生鑑別。這項作業是選用的,並且應交由 z/OS 安全管理者來執行。
執行這項作業的原因和時機
這個主題說明要用在這個配置中的特定 LDAP 設定。
這項資訊補充使用 LDAP 的 Rational
Team Concert for System z 配置指示。
如需相關資訊,請參閱
RTCz:使用「輕量型目錄存取通訊協定 (LDAP)」來管理使用者。
- LDAP 配置:
如下所示,將 LDAP(輕量型目錄存取通訊協定)配置成 SDBM 後端。
範例顯示配置給 SDBM 的 LDAP 配置檔 slapd.conf。
listen ldap://:3399
maxConnections 2000
adminDN “profiletype=user”
database sdbm GLDSDBM
suffix “sysplex=yourSysplexName,o=yourOrganization”
sizeLimit 2000
timeLimit 3600
如需關鍵字的完整說明,請參閱 z/OS Integrated Security Services LDAP Server
Administration and Use。
註: 請注意如何才能只在配置檔中指定
profiletype=user。這可讓多個 BDN 擔任
LDAP AdminDN。
必須在管理主控台中,將 BDN 指定在下的 LDAP 使用者登錄內容中。
凡是來自
WebSphere 的安全要求都會傳輸至「連結識別名稱」之「LDAP 管理者 DN」下的 RACF(在啟動廣域安全之後)。BDNracid 必須是 RACF 定義的使用者,並且具備有效的 OMVS 區段。這個 RACF 使用者 ID 必須具備系統層面的 AUDITOR 屬性。
- WebSphere 使用者登錄設定:
在 WebSphere 中,必須設定某些廣域安全設定,才能使用
LDAP SDBM 作為使用者登錄。
- 在管理主控台中,移至,並提供以下顯示的值。必須勾選自動產生伺服器身分勾選框。
註: 應該勾選忽略授權的大小寫勾選框,以便將任何轉遞給
RACF 的小寫使用者 ID 或密碼轉換成大寫。
| 內容 |
值(說明,實際) |
| 主要管理使用者名稱 |
主要管理者的 RACF 使用者 ID |
| 類型 |
自訂 |
| 主機 |
用來接聽 LDAP 的 LPAR IP 位址或 URL |
| 埠 |
指定在 slapd.conf 中的 LDAP 接聽埠 |
| 基本識別名稱 (DN) |
slapd.conf 中指定的字尾(沒有引號) |
| 連結識別名稱 (DN) |
racfid=BDNracid,profiletype=user,suffix |
| 連結密碼 |
BDNracid 的密碼 |
- 在「進階 LDAP 使用者登錄設定」中,新增以下顯示的過濾器:
| 內容 |
值 |
| 使用者過濾器 |
racfid=%v |
| 群組過濾器 |
racfid=%v |
| 使用者 ID 對映 |
*:racfid |
| 群組 ID 對映 |
*:racfid |
| 群組成員 ID 對映 |
racfconnectgroupname:racfgroupuserids |
範例
註: 「連結識別名稱」應該是一個具備
AUDITOR 屬性、有效
OMVS 區段(特定或是透過預設區段隱含),且沒有
TSO 區段的
RACF 使用者 ID。這不是必要的,透過這個簡單的步驟可避免誤用 BDN 帳戶。
BDN 使用者 ID 應使用尚未到期的密碼,以免 WebSphere Cell 因內部鑑別與授權失效而中止。
如果您組織的原則要求讓這個使用者 ID 種類到期,請確定您已備妥一項程序,在 BDN 密碼到期之前就加以變更。