E Configuración de un proveedor de servicios de seguridad para STA

Se debe autenticar a los usuarios para que se les permita el acceso a STA. Puede crear usuarios de manera local desde STA o puede usar proveedores de servicios de seguridad (SSP) externos para proporcionar control de acceso para STA.

En este apéndice, se describe cómo usar OpenLDAP (protocolo ligero de acceso a directorios) de WebLogic y RACF (función de control de acceso a recursos) de IBM para el control de acceso a STA. Incluye las siguientes secciones:

Para crear usuarios con la aplicación de STA, consulte Guía del usuario de STA.

Control de acceso a STA con OpenLDAP de WebLogic

Use este procedimiento para configurar OpenLDAP para STA.

Configuración de OpenLDAP de WebLogic

  1. Vaya a la pantalla de inicio de sesión de la consola de WebLogic mediante el número de puerto HTTP (el puerto predeterminado de STA 2.1.0 es 7019) o HTTPS (el puerto predeterminado de STA 2.1.0 es 7020) que haya seleccionado durante la instalación de STA.

    https://yourHostName:PortNumber/console/
    

    Por ejemplo:

    https://sta_server:7020/console
    
  2. Inicie sesión con el nombre de usuario y la contraseña de la consola de administración de WebLogic que definió durante la instalación de STA.

  3. En la sección Domain Structure (Estructura de dominios), haga clic en Security Realms (Dominios de seguridad).

    A continuación se muestra la descripción de wl_secrealm.png
    Descripción de la ilustración wl_secrealm.png

  4. En la tabla Realms (Dominios), seleccione el enlace activo myrealm (seleccione el enlace, no la casilla de control).

    A continuación se muestra la descripción de wl_myrealm.png
    Descripción de la ilustración wl_myrealm.png

  5. Haga clic en el separador Providers (Proveedores).

    A continuación se muestra la descripción de wl_providers.png
    Descripción de la ilustración wl_providers.png

  6. En la sección Change Center (Centro de cambios), haga clic en Lock & Edit (Bloquear y editar).

    A continuación se muestra la descripción de wl_lockedit.png
    Descripción de la ilustración wl_lockedit.png

  7. En la sección Authentication Providers (Proveedores de autenticación), haga clic en New (Nuevo).

    A continuación se muestra la descripción de wl_new.png
    Descripción de la ilustración wl_new.png

  8. Introduzca el nombre del proveedor de autenticación que desea crear (por ejemplo, OpenLdapAuthenticator) y seleccione OpenLDAPAuthenticator en el menú Type (Tipo). Haga clic en OK (Aceptar).

    A continuación se muestra la descripción de ldap_createnew.png
    Descripción de la ilustración ldap_createnew.png

  9. Seleccione el enlace activo DefaultAuthenticator (seleccione el enlace, no la casilla de control).

    A continuación se muestra la descripción de ldap_defauth.png
    Descripción de la ilustración ldap_defauth.png

  10. En el menú Control Flag (Indicador de control), seleccione Sufficient (Suficiente) y, a continuación, haga clic en Save (Guardar).

    A continuación se muestra la descripción de ssp_controlsufficient.png
    Descripción de la ilustración ssp_controlsufficient.png

  11. Seleccione el enlace localizador Providers (Proveedores) para regresar a la pantalla Authentication Providers (Proveedores de autenticación).

    A continuación se muestra la descripción de ssp_provlink.png
    Descripción de la ilustración ssp_provlink.png

  12. En la tabla Authentication Providers (Proveedores de autenticación), seleccione el nombre del autenticador de OpenLDAP que creó en el paso 8 (seleccione el nombre, no la casilla de control).

    A continuación se muestra la descripción de ldap_selectopen.png
    Descripción de la ilustración ldap_selectopen.png

  13. En el menú Control Flag (Indicador de control), seleccione Sufficient (Suficiente) y, a continuación, haga clic en Save (Guardar).

    A continuación se muestra la descripción de ssp_controlsufficient.png
    Descripción de la ilustración ssp_controlsufficient.png

  14. Haga clic en el separador Provider Specific (Específico del proveedor).

    A continuación se muestra la descripción de ldap_provspecific.png
    Descripción de la ilustración ldap_provspecific.png

  15. Complete los campos de la pantalla en función de los requisitos de la organización. El siguiente ejemplo corresponde al servidor lses-ldap1 y es específico para el entorno de cada cliente.

    • Host = lses-ldap1

    • Port (Puerto) = 389

    • Principal = déjelo en blanco

    • Credential (Credencial) = déjelo en blanco

    • User Base DN (DN de base de usuarios) = ou=people,o=STA,dc=oracle,dc=com

    • User From Name Filter (Filtro de nombre de usuario remitente) = (&(cn=%u)(objectclass=inetOrgPerson))

    • User Object Class (Clase de objeto de usuario) = inetOrgPerson

    • Group Base DN (DN de base de grupos) = ou=groups,o=STA,dc=oracle,dc=com

    • Group From Name Filter (Filtro de nombre de grupo remitente) = (&(cn=%g)(objectclass=groupofnames))

  16. Haga clic en Save (Guardar).

  17. En la sección Change Center (Centro de cambios), haga clic en Activate Changes (Activar cambios).

    A continuación se muestra la descripción de wl_activate.png
    Descripción de la ilustración wl_activate.png

  18. Realice los siguientes pasos para probar la configuración.

    1. Cierre la sesión de la consola de administración de WebLogic.

    2. Detenga STA y reinícielo con el comando STA. Consulte información detallada sobre el uso de comandos en Guía de administración de STA.

      # STA stop all
      # STA start all
      
    3. Inicie sesión en la consola de WebLogic.

    4. En la sección Domain Structure (Estructura de dominios), seleccione Security Realms (Dominios de seguridad).

    5. En la tabla Realms (Dominios), seleccione el enlace activo myrealm (seleccione el enlace, no la casilla de control).

    6. Haga clic el separador Users and Groups (Usuarios y grupos).

      A continuación se muestra la descripción de ldap_uandg.png
      Descripción de la ilustración ldap_uandg.png

    7. En los separadores Users (Usuarios) y Groups (Grupos), verifique que haya entradas en la columna Provider (Proveedor) para el proveedor OpenLDAP.

Control de acceso a STA mediante tareas de RACF de IBM

Use los siguientes procedimientos para configurar la autenticación de RACF (Función de control de acceso a recursos) de IBM para STA. Debe completar los procedimientos en el orden indicado.

Nota:

STA admite productos de terceros que sean compatibles con RACF de IBM, por ejemplo, ACF2 y Top Secret de CA. La persona que instala STA, o el administrador de seguridad, es responsable de ejecutar los comandos apropiados para el producto de seguridad instalado.

Tarea 1: Revisión de los requisitos mínimos del mainframe de RACF de IBM

Consulte los requisitos completos de RACF en Guía de requisitos de STA.

Tarea 2: Activación de compatibilidad del mainframe para autorizaciones RACF de STA

El lado del mainframe del servicio de RACF para STA se proporciona mediante una rutina CGI que es parte del componente SMC para ELS 7.0 y 7.1. Esta rutina CGI es invocada por el servidor HTTP de SMC y usa los perfiles de RACF definidos en la clase FACILITY.

Para que STA use RACF como medio de autenticación de acceso, se debe configurar en el mainframe una tarea iniciada de SMC que ejecute el servidor HTTP. En el documento Configuración y gestión de SMC de ELS puede encontrar los detalles para hacerlo.

Nota:

La tarea iniciada de SMC debe coincidir con la regla de AT-TLS definida. De manera alternativa, permita que la definición de AT-TLS use un nombre de tarea genérico (por ejemplo, SMCW).

Si usa un identificador de STC proporcionado por el valor (por ejemplo, JOBNAME.JOB), se producirá un error en la conexión de la rutina de CGI.

El número de puerto usado para el servidor HTTP debe coincidir con el definido en la consola de WebLogic y el host debe coincidir con el nombre IP del host en el que se ejecuta la tarea de SMC.

Nota:

Se puede usar un SMC existente si existe en el host en el que se realizará la autorización de RACF. En este caso, use el número de puerto del servidor HTTP existente cuando esté realizando la configuración de WebLogic.

Tarea 3: Configuración de AT-TLS

AT-TLS es una solución de cifrado para aplicaciones TCP/IP que es transparente para el servidor de aplicaciones y el cliente. El cifrado y el descifrado de paquetes se realizan en el espacio de direcciones z/OS TCPIP en el nivel del protocolo TCP. Los requisitos de AT-TLS para la autorización de RACF se describen en Guía de requisitos de STA.

Los siguientes comandos de RACF indican el estado de los diversos objetos de RACF que se definen en el proceso de configuración:

  • RLIST STARTED PAGENT.* STDATA ALL

  • RLIST DIGTRING *ALL

  • RLIST FACILITY IRR.DIGTCERT.LISTRING ALL

  • RLIST FACILITY IRR.DIGCERT.LST ALL

  • RLIST FACILITY IRR.DIGCERT.GENCERT ALL

  • RACDCERT ID(stcuser) LIST

  • RACDCERT ID(stcuser) LISTRING(keyringname)

  • RACDCERT CERTAUTH LIST

Para configurar AT-TLS, haga lo siguiente:

  1. Especifique el siguiente parámetro en el juego de datos del perfil TCPIP para activar AT-TLS:

    TCPCONFIG TTLS
    

    Esta declaración se puede colocar en el archivo TCP OBEY.

  2. Configuración del agente de políticas (PAGENT)

    El espacio de direcciones del agente de políticas controla cuál es el tráfico de TCP/IP que se cifra.

    1. Introduzca la tarea JCL iniciada por PAGENT.

      Por ejemplo:

      //PAGENT PROC
      //*
      //PAGENT EXEC PGM=PAGENT,REGION=0K,TIME=NOLIMIT,
      // PARM='POSIX(ON) ALL31(ON) ENVAR("_CEE_ENVFILE=DD:STDENV")/-d1'
      //*
      //STDENV DD DSN=pagentdataset,DISP=SHR//SYSPRINT DD SYSOUT=*
      //SYSOUT DD SYSOUT=*
      //*
      //CEEDUMP DD SYSOUT=*,DCB=(RECFM=FB,LRECL=132,BLKSIZE=132)
      
    2. Introduzca las variables del entorno PAGENT. El juego de datos pagentdataset contiene las variables del entorno PAGENT.

      Por ejemplo:

      LIBPATH=/lib:/usr/lib:/usr/lpp/ldapclient/lib:.
      PAGENT_CONFIG_FILE=/etc/pagent.conf
      PAGENT_LOG_FILE=/tmp/pagent.log
      PAGENT_LOG_FILE_CONTROL=3000,2
      _BPXK_SETIBMOPT_TRANSPORT=TCPIP
      TZ=MST7MDT
      

      En este ejemplo, /etc/pagent.conf contiene los parámetros de configuración de PAGENT. Use su propia zona horaria para el parámetro TZ.

    3. Configure PAGENT.

      Por ejemplo:

      TTLSRule TBI-TO-ZOS
      {
       LocalAddr localtcpipaddress
       RemoteAddr remotetcpipaddress
       LocalPortRange localportrange
       RemotePortRange remoteportrange
       Jobname HTTPserverJobname
       Direction Inbound
       Priority 255
       TTLSGroupActionRef gAct1~TBI_ICSF
       TTLSEnvironmentActionRef eAct1~TBI_ICSF
       TTLSConnectionActionRef cAct1~TBI_ICSF
      }
      TTLSGroupAction gAct1~TBI_ICSF
      {
       TTLSEnabled On
       Trace 2
      }
      TTLSEnvironmentAction eAct1~TBI_ICSF
      {
       HandshakeRole Server
       EnvironmentUserInstance 0
       TTLSKeyringParmsRef keyR~ZOS
      }
      TTLSConnectionAction cAct1~TBI_ICSF
      {
       HandshakeRole ServerWithClientAuth
       TTLSCipherParmsRef cipher1~AT-TLS__Gold
       TTLSConnectionAdvancedParmsRef cAdv1~TBI_ICSF
       CtraceClearText Off
       Trace 2
      }
      TTLSConnectionAdvancedParms cAdv1~TBI_ICSF
      {
       ApplicationControlled Off
       HandshakeTimeout 10
       ResetCipherTimer 0
       CertificateLabel certificatelabel
       SecondaryMap Off
      }
      TTLSKeyringParms keyR~ZOS
      {
       Keyring keyringname
      }
      TTLSCipherParms cipher1~AT-TLS__Gold
      {
       V3CipherSuites TLS_RSA_WITH_3DES_EDE_CBC_SHA
       V3CipherSuites TLS_RSA_WITH_AES_128_CBC_SHA
      }
      

      donde:

      • localtcpipaddress: dirección TCP/IP local del servidor HTTP

      • remotetcpipaddress: dirección TCP/IP remota del cliente de STA. Puede ser ALL (Todas) para todas las direcciones de TCP/IP

      • localportrange: puerto local del servidor HTTP (especificado en el inicio de HTTP o SMC)

      • remoteportrange: rango de puertos remotos (1024-65535 para todos los puertos efímeros)

      • HTTPserverJobname: nombre de trabajo del servidor HTTP

      • certificatelabel: etiqueta proveniente de la definición del certificado

      • keyringname: nombre proveniente de la definición del archivo de claves RACF

  3. Active las clases de RACF. Se pueden usar los paneles de RACF o la CLI.

    Las clases de RACF incluyen:

    • DIGTCERT

    • DIGTNMAP

    • DIGTRING

      La clase SERVAUTH debe ser RACLISTed para evitar que PORTMAP y RXSERV finalicen de manera anormal.

      SETROPTS RACLIST(SERVAUTH)
      RDEFINE SERVAUTH **UACC(ALTER) OWNER (RACFADM)
      RDEFINE STARTED PAGENT*.* OWNER(RACFADM) STDATA(USER(TCPIP) GROUP(STCGROUP)
      RDEFINE FACILITY IRR.DIGTCERT.LISTRING UACC(NONE) OWNER(RACFADM)
      RDEFINE FACLITY IRR.DIGTCERT.LIST UACC(NONE) OWNER(RACFADM)
      RDEFINE FACILITY IRR.DIGTCERT.GENCERT UACC(NONE) OWNER (RACFADM)
      
  4. Definición de archivos de claves y certificados de RACF

    1. Introduzca los siguientes comandos de RACF para crear archivos de claves y certificados:

      RACDCERT ID(stcuser) ADDRING(keyringname)
      

      donde:

      • stcuser: ID de usuario de RACF asociado con el espacio de direcciones de TCPIP

      • keyringname: nombre del archivo de claves, debe coincidir con el archivo de claves especificado en la configuración de PAGENT

      RACDCERT ID(stcuser) GENCERT CERTAUTH SUBJECTSDN(CN('serverdomainname') O('companyname') OU('unitname') C('country')) WITHLABEL('calabel') TRUST SIZE(1024) KEYUSAGE(HANDSHAKE,DATAENCRYPT,CERTSIGN)
      

      Nota:

      Se trata del certificado de la autoridad de certificación para el sistema de STA.

      donde:

      • stcuser: ID de usuario de RACF asociado con el espacio de direcciones de TCPIP

      • serverdomainname: nombre de dominio del servidor z/OS (por ejemplo, MVSA.COMPANY.COM)

      • companyname: nombre de la organización

      • unitname: nombre de la unidad organizativa

      • country: país

      • calabel: etiqueta de la autoridad de certificación (por ejemplo, CATBISERVER)

      RACDCERT ID(stcuser) GENCERT SUBJECTSDN(CN('serverdomainname') O('companyname') OU('unitname') C('country')) WITHLABEL('serverlabel') TRUST SIZE(1024) SIGNWITH(CERTAUTH LABEL('calabel'))
      

      Nota:

      Es el certificado SERVER.

      donde:

      • stcuser: ID de usuario de RACF asociado con el espacio de direcciones de TCPIP

      • serverdomainname: nombre de dominio del servidor z/OS (por ejemplo, MVSA.COMPANY.COM)

      • companyname: nombre de la organización

      • unitname: nombre de la unidad organizativa

      • country: país

      • serverlabel: etiqueta del certificado del servidor (por ejemplo, TBISERVER)

      • calabel: etiqueta de la autoridad de certificación, especificada en la definición del certificado de CA

      RACDCERT ID(stcuser) GENCERT SUBJECTSDN(CN('clientdomainname') O('companyname') OU('unitname') C('country')) WITHLABEL('clientlabel') TRUST SIZE(1024) SIGNWITH(CERTAUTH LABEL('calabel'))
      

      Nota:

      Es el certificado CLIENT.

      donde:

      • stcuser: ID de usuario de RACF asociado con el espacio de direcciones de TCPIP

      • clientdomainname: nombre de dominio del cliente de STA (por ejemplo, TBIA.COMPANY.COM)

      • companyname: nombre de la organización

      • unitname: nombre de la unidad organizativa

      • country: país

      • clientlabel: etiqueta del certificado del servidor: TBICLIENT

      • calabel: etiqueta de la autoridad de certificación, especificada en la definición del certificado de CA

    2. Conecte los certificados de la autoridad de certificación, del servidor y del cliente al patrón de claves especificado en la configuración de PAGENT:

      RACDCERT ID(stcuser) CONNECT(CERTAUTH LABEL('calabel') RING('keyringname') USAGE(CERTAUTH))
      

      donde:

      • stcuser: ID de usuario de RACF asociado con el espacio de direcciones de TCPIP

      • calabel: etiqueta de la autoridad de certificación, especificada en la definición del certificado de CA

      • keyringname: nombre del archivo de claves, debe coincidir con el archivo de claves especificado en la configuración de PAGENT

      RACDCERT ID(stcuser) CONNECT(ID(stcuser) LABEL('serverlabel') RING('keyingname') DEFAULT USEAGE(PERSONAL)
      

      donde:

      • stcuser: ID de usuario de RACF asociado con el espacio de direcciones de TCPIP

      • serverlabel: etiqueta del certificado del servidor

      • keyringname: nombre del archivo de claves, debe coincidir con el archivo de claves especificado en la configuración de PAGENT

      RACDCERT ID(stcuser) CONNECT(ID(stcuser) LABEL('clientlabel') RING('keyingname') USEAGE(PERSONAL)
      

      donde:

      • stcuser: ID de usuario de RACF asociado con el espacio de direcciones de TCPIP

      • clientlabel: etiqueta del certificado del cliente

      • keyringname: nombre del archivo de claves, debe coincidir con el archivo de claves especificado en la configuración de PAGENT

    3. Exporte los certificados de la autoridad de certificación y el cliente que se deben transmitir a STA:

      RACDCERT EXPORT (LABEL('calabel')) CERTAUTH DSN('datasetname') FORMAT(CERTB64)
      

      donde:

      • calabel: etiqueta de la autoridad de certificación, especificada en la definición del certificado de CA

      • datasetname: juego de datos para recibir el certificado exportado

      RACDCERT EXPORT (LABEL('clientlabel')) ID(stcuser) DSN('datasetname') FORMAT(PKCS12DER) PASSWORD(' password ')
      

      donde:

      • clientlabel: etiqueta del certificado del cliente

      • stcuser: ID de usuario de RACF asociado con el espacio de direcciones de TCPIP

      • datasetname: juego de datos para recibir el certificado exportado

      • password: contraseña para el cifrado de datos. Se necesita cuando se recibe el certificado en STA. La contraseña debe tener ocho caracteres o más.

Los juegos de datos de exportación ahora se transmiten a STA y se puede usar FTP. El certificado de CA se transmite con una conversión de EBCDIC a ASCII. El certificado CLIENT se transmite como archivo BINARY y contiene el certificado del cliente y la clave privada correspondiente.

Tarea 4: Creación de los perfiles de RACF usados por la rutina CGI

Los perfiles se definen en la clase FACILITY. El primero de los perfiles se llama SMC.ACCESS.STA y determina si el usuario tiene acceso a la aplicación de STA.

Los usuarios que necesitan tener acceso a STA deben tener acceso READ a este perfil. Los demás perfiles se muestran como SMC.ROLE.nnn y se usan para determinar cuáles son los roles que tiene el usuario cuando inicia sesión.

Nota:

El único rol definido para STA es StorageTapeAnalyticsUser. Para obtener este rol, debe solicitar que su ID de usuario se agregue al perfil SMC.ROLE.STORAGETAPEANALYTICSUSER con acceso READ.

Tarea 5: Importación del archivo del certificado y el archivo de la clave privada (opcional)

Este procedimiento puede ser valioso para probar que las claves públicas y privadas se hayan generado correctamente, y que los identificadores y las contraseñas de los usuarios se hayan definido con los permisos apropiados.

La prueba se puede hacer con cualquier explorador; en el ejemplo se usa Firefox.

  1. En el menú Herramientas de Firefox, seleccione Opciones.

  2. Seleccione el separador Opciones avanzadas y, a continuación, seleccione el separador Cifrado.

  3. Haga clic en Ver certificados.

  4. En el cuadro de diálogo Gestor de certificados, seleccione el separador Autoridades y, a continuación, seleccione el archivo de certificado que desea importar.

  5. Haga clic en Importar.

  6. Seleccione el separador Sus certificados e introduzca el archivo de claves privadas que desea importar.

  7. Haga clic en Importar.

  8. Haga clic en Aceptar para guardar y cerrar el cuadro de diálogo.

Tarea 6: Prueba de la rutina de CGI

Para probar la rutina de CGI desde un explorador, introduzca la siguiente dirección URL, donde host, port, userid y password están configurados con los valores apropiados.

https://host:port/smcgsaf?type=authentication&userid=userid&password=password&roles=StorageTapeAnalyticsUser

La salida resultante indica si el usuario está autorizado o no para acceder a STA y el rol StorageTapeAnalyticsUser.

Nota:

La función de autorización RACF de STA no admite el cambio de la contraseña de ID de usuarios del mainframe. Si la contraseña de un ID de usuario caduca, STA así lo indica y la contraseña se debe restablecer por medio de los canales normales del mainframe antes de intentar iniciar sesión en STA nuevamente.

Tarea 7: Configuración de RACF/SSP para la consola de WebLogic

El proveedor de servicios de seguridad RACF (o RACF SSP) debe instalarse como complemento en WebLogic.

Si se instaló RACF SSP, el instalador de STA debe colocarlo en la ubicación apropiada de WebLogic. Si no se instaló, coloque el archivo de seguridad jar de RACF en el directorio, de la siguiente manera:

/Oracle_storage_home/Middleware/wlserver_10.3/server/lib/mbeantypes/staRACF.jar

donde Oracle_storage_home es la ubicación del directorio raíz de almacenamiento de Oracle especificada durante la instalación de STA.

Tarea 8: Configuración de SSL entre STA y RACF

  1. Instale los PTF requeridos en el sistema MVS. Estos PTF posibilitan la autenticación con RACF u otro software de seguridad de terceros al iniciar sesión en STA. Consulte los requisitos de PTF en Guía de requisitos de STA.

    Application Transparent TLS (AT-TLS) se configuró en MVS para que el número de puerto definido para el servidor HTTP de SMC y WebLogic se cifre en el servidor.

    Antes de continuar, asegúrese de tener dos archivos: el certificado del servidor de MVS (en formato ASCII) y la clave privada del cliente de STA (en formato binario PKCS12). El administrador del sistema de MVS le entregó la contraseña del archivo PKCS12.

  2. Coloque el certificado en /Oracle_storage_home/Middleware/user_projects/domains/tbi/cert.

    donde Oracle_storage_home es la ubicación del directorio raíz de almacenamiento de Oracle especificada durante la instalación de STA.

  3. Convierta el certificado del formato DER al formato PEM.

    openssl pkcs12 -clcerts -in PKCS12DR.xxxxxx -out mycert.pem
    

    Se le solicitará que introduzca la contraseña de importación (que se le entregó con el certificado), una nueva contraseña de PEM y que verifique la contraseña.

  4. Con el comando de la herramienta de claves de Java, importe el archivo del certificado al archivo /Oracle_storage_home/Middleware/jdk1.6.0_xx/jre/lib/security/cacerts.

    # /Oracle_storage_home/Middleware/jdk1.6.0_xx/jre/bin/keytool -importcert -alias tbiServer -file certificate -keystore /Oracle/Middleware/jdk1.6.0_xx/jre/lib/security/cacerts -storetype jks
    

Tarea 9: Configuración del servidor de WebLogic

Para configurar WebLogic para la autenticación de RACF, siga el procedimiento indicado en Reconfiguración de WebLogic para usar otro certificado de seguridad..

Tarea 10: Instalación de RACF/SSP en la consola de WebLogic

  1. Vaya a la pantalla de inicio de sesión de la consola de WebLogic mediante el número de puerto HTTP (el puerto predeterminado de STA 2.1.0 es 7019) o HTTPS (el puerto predeterminado de STA 2.1.0 es 7020) que haya seleccionado durante la instalación de STA.

    https://yourHostName:PortNumber/console/
    

    Por ejemplo:

    https://sta_server:7020/console/
    
  2. Inicie sesión con el nombre de usuario y la contraseña de la consola de administración de WebLogic que definió durante la instalación de STA.

  3. En la sección Domain Structure (Estructura de dominios), seleccione Security Realms (Dominios de seguridad).

    A continuación se muestra la descripción de wl_secrealm.png
    Descripción de la ilustración wl_secrealm.png

  4. En la sección Realms (Dominios), seleccione el enlace activo myrealm (seleccione el nombre, no la casilla de control).

    A continuación se muestra la descripción de wl_myrealm.png
    Descripción de la ilustración wl_myrealm.png

  5. En la sección Change Center (Centro de cambios), haga clic en Lock & Edit (Bloquear y editar).

    A continuación se muestra la descripción de wl_lockedit.png
    Descripción de la ilustración wl_lockedit.png

  6. Seleccione el separador Providers (Proveedores).

    A continuación se muestra la descripción de wl_providers.png
    Descripción de la ilustración wl_providers.png

  7. En la sección Authentication Providers (Proveedores de autenticación), haga clic en New (Nuevo).

    A continuación se muestra la descripción de wl_new.png
    Descripción de la ilustración wl_new.png

  8. Introduzca el nombre del proveedor de autenticación que desea agregar (por ejemplo, STA RacfAuthenticator) y seleccione RacfAuthenticator en el menú Type (Tipo). Haga clic en OK (Aceptar).

    Nota:

    El archivo jar de RACF debería aparecer en el menú Type (Tipo). Si no es así, detenga STA y reinícielo con el comando STA. Consulte información detallada sobre el uso de comandos en Guía de administración de STA.
  9. Verifique que el proveedor RACF esté incluido en la tabla Authentication Providers (Proveedores de autenticación). DefaultAuthenticator y DefaultIdentityAsserter deben ser siempre los dos primeros proveedores de esta lista.

  10. Seleccione el enlace activo DefaultAuthenticator (seleccione el nombre, no la casilla de control).

    A continuación se muestra la descripción de racf_defauth.png
    Descripción de la ilustración racf_defauth.png

  11. En el menú Control Flag (Indicador de control), seleccione Sufficient (Suficiente) y, a continuación, haga clic en Save (Guardar).

  12. Haga clic en el separador Provider Specific (Específico del proveedor) y, a continuación, en Save (Guardar).

    A continuación se muestra la descripción de racf_defprovspec.png
    Descripción de la ilustración racf_defprovspec.png

  13. Haga clic en el enlace localizador Providers (Proveedores) para regresar a la pantalla Authentication Providers (Proveedores de autenticación).

    A continuación se muestra la descripción de ssp_provlink.png
    Descripción de la ilustración ssp_provlink.png

  14. En la tabla Authentication Providers (Proveedores de autenticación), seleccione el nombre del autenticador de RACF que creó en el paso 8 (seleccione el nombre, no la casilla de control).

    A continuación se muestra la descripción de racf_selracf.png
    Descripción de la ilustración racf_selracf.png

  15. En el menú Control Flag (Indicador de control), seleccione Sufficient (Suficiente) y, a continuación, haga clic en Save (Guardar).

    A continuación se muestra la descripción de racf_racfauthsufficient.png
    Descripción de la ilustración racf_racfauthsufficient.png

  16. Haga clic en el separador Provider Specific (Específico del proveedor).

    A continuación se muestra la descripción de racf_provspecific.png
    Descripción de la ilustración racf_provspecific.png

  17. Introduzca el nombre del host (por ejemplo, mvshost.yourcompany.com) y el número de puerto (por ejemplo, 8700) en donde se está ejecutando el sistema MVS y haga clic en Save (Guardar).

    A continuación se muestra la descripción de racf_racfauthhostport.png
    Descripción de la ilustración racf_racfauthhostport.png

  18. En la sección Change Center (Centro de cambios), haga clic en Activate Changes (Activar cambios).

    A continuación se muestra la descripción de wl_activate.png
    Descripción de la ilustración wl_activate.png

  19. Cierre la sesión de la consola de administración de WebLogic.

  20. Detenga STA y reinícielo con el comando STA. Consulte información detallada sobre el uso de comandos en Guía de administración de STA.

    # STA stop all
    # STA start all