Autenticazione client mediante certificati X.509

Il daemon RSE supporta l'autenticazione degli utenti con un certificato X.509 . L'utilizzo della comunicazione crittografata è un prerequisito per questa funzione, poiché è un'estensione dell'autenticazione host con un certificato utilizzato nell'handshake di crittografia.

Il daemon RSE avvia il processo di autenticazione client convalidando il certificato client. Alcuni aspetti chiave che vengono controllati sono le date di validità del certificato e l'attendibilità dell'autorità di certificazione (CA) utilizzata per firmare il certificato. Facoltativamente, è possibile consultare anche un CRL (Certificate Revocation List) di terze parti.

Una volta che il daemon RSE convalida il certificato, questo viene elaborato per l'autenticazione. Il certificato viene passato al prodotto di sicurezza per l'autenticazione, a meno che la rse.env direttiva enable.certificate.mapping non sia impostata su false, a quel punto il daemon RSE eseguirà l'autenticazione.

Se ha esito positivo, il processo di autenticazione determinerà l'ID utente da utilizzare per questa sessione, che viene quindi verificato dal daemon RSE per garantire che sia utilizzabile sul sistema host su cui è in esecuzione il daemon RSE.

L'ultimo controllo (effettuato per ogni meccanismo di autenticazione, non solo per i certificati X.509 ) verifica che all'ID utente sia consentito utilizzare z/OS® Explorer.

Se si ha familiarità con le classificazioni di sicurezza utilizzate da TCP/IP, la combinazione di questi passi di convalida corrisponde alle specifiche "Autenticazione client di livello 3" (la più alta disponibile).