Zur Authentifizierung des Rational Team Concert for System z-Clients mit WebSphere Application Server kann
ein z/OS-LDAP-Server mit einem
SDBM-Back-End verwendet werden.
SDBM ermöglicht eine
native Authentifizierung unter z/OS mit
RACF. Dieser Vorgang ist optional und sollte von Ihrem
z/OS-Sicherheitsadministrator ausgeführt werden.
Warum und wann dieser Vorgang ausgeführt wird
Dieser Abschnitt beschreibt die speziellen
LDAP-Einstellungen, die in dieser Konfiguration verwendet werden.
Diese Informationen ergänzen die Anweisungen zur Konfiguration von
Rational Team Concert for System z mittels LDAP. Weitere Informationen hierzu finden Sie in
RTCz: Benutzer mit LDAP (Lightweight Directory Access Protocol) verwalten.
- LDAP-Konfiguration:
LDAP (Lightweight
Directory Access Protocol) wird wie folgt als SDBM-Back-End konfiguriert.
Dieses Beispiel zeigt, wie die
LDAP-Konfigurationsdatei slapd.conf für
SDBM konfiguriert ist.
listen ldap://:3399
maxConnections 2000
adminDN “profiletype=user”
database sdbm GLDSDBM
suffix “sysplex=IhrSysplexName,o=IhreOrganisation”
sizeLimit 2000
timeLimit 3600
Eine vollständige Beschreibung der Schlüsselwörter finden Sie in der Dokumentation
z/OS Integrated Security Services LDAP Server
Administration and Use.
Anmerkung: Beachten Sie, dass nur
profiletype=user in der Konfigurationsdatei angegeben ist.
Dadurch können mehrere
BDNs als
LDAP-AdminDN fungieren.
Der BDN muss in der Administrationskonsole in den Eigenschaften der LDAP-Benutzerregistry unter
angegeben werden.
Alle Sicherheitsanforderungen von
WebSphere werden (nach dem Aktivieren der globalen Sicherheit)
unter dem LDAP-Administrator-DN des BDN (Bind Distinguished Name, eindeutiger Name für Bindung)
an RACF übertragen.
Die BDNracid muss ein in
RACF definierter Benutzer mit einem gültigen OMVS-Segment sein.
Diese RACF-Benutzer-ID muss
das systemweite Attribut AUDITOR besitzen.
- Einstellungen der WebSphere-Benutzerregistry:
In WebSphere müssen einige globale Sicherheitseinstellungen
definiert werden, damit
LDAP SDBM als Benutzerregistry verwendet werden kann.
- Klicken Sie in der Administrationskonsole auf
, und geben Sie die unten
gezeigten Werte ein. Das Kontrollkästchen
Automatisch generierte Server-ID muss ausgewählt sein.
Anmerkung: Das Kontrollkästchen
Groß-/Kleinschreibung für Berechtigung ignorieren sollte ausgewählt sein, damit an
RACF weitergeleitete
Benutzer-IDs und Kennwörter in Kleinbuchstaben in Großbuchstaben umgewandelt werden.
| Eigenschaft |
Wert (Beschreibung, aktiver Wert) |
| Name des primären Benutzers mit Verwaltungsaufgaben |
RACF-Benutzer-ID des Masteradministrators |
| Typ |
Angepasst |
| Host |
IP-Adresse oder URL der LPAR, an der LDAP empfangsbereit ist |
| Port |
LDAP-Empfangsport wie in slapd.conf angegeben |
| Basis-DN |
Suffix wie in slapd.conf angegeben (ohne Anführungszeichen) |
| Definierter Name für Bindung |
racfid=BDNracid,profiletype=user,suffix |
| Kennwort für Bindung |
Kennwort von BDNracid |
- Fügen Sie
in den erweiterten LDAP-Einstellungen für die Benutzerregistry die unten gezeigten Filter hinzu:
| Eigenschaft |
Wert |
| Benutzerfilter |
racfid=%v |
| Gruppenfilter |
racfid=%v |
| Zuordnung von Benutzer-IDs |
*:racfid |
| Zuordnung von Gruppen-IDs |
*:racfid |
| Zuordnung von Gruppen-Member-IDs |
racfconnectgroupname:racfgroupuserids |
Beispiel
Anmerkung: Der
Bind Distinguished Name (BDN, eindeutiger Name für Bindung) sollte eine
RACF-Benutzer-ID sein,
für die das Attribut
AUDITOR, ein gültiges
OMVS-Segment
(spezifisches oder von einem Standardsegment impliziertes OMVS-Segment)
und kein
TSO-Segment definiert ist.
Dieses ist nicht erforderlich, und daher ist dies eine einfache Möglichkeit,
um dem Missbrauch des BDN-Accounts vorzubeugen.
Verwenden Sie ein für die BDN-Benutzer-ID ein Kennwort, dass nicht abläuft, um zu vermeiden, dass die
WebSphere-Zelle aufgrund
interner Authentifizierungs- und Berechtigungsfehler gestoppt wird.
Wenn die Richtlinien Ihres Unternehmens festlegen, dass diese Kategorie von Benutzer-IDs
ablaufen müssen, stellen Sie sicher, dass ein Prozess definiert ist, der das BDN-Kennwort ändert, bevor es abläuft.