您可以使用 LDAP 来存储 CRL (证书撤销列表) 或基本认证凭证。 在 LDAP 服务器中存储证书撤销列表或凭证时,必须授权 CICS® 访问这些列表或凭证。
关于此任务
证书撤销列表和密码存储在访问类为 critical 的 LDAP 服务器中,并且只能由在 LDAP 绑定时提供了认证凭证的用户访问。 这些凭证是用户的专有名称和关联密码。 您可以将这些详细信息保存在 LDAPBIND RACF® 类中的专用概要文件中。 要设置概要文件,请执行以下步骤:
过程
- 必须先对概要文件中使用的密码进行加密,然后才能将其存储在 RACF 数据库中。 要加密密码,必须通过发出以下某个 RACF 命令将密码加密密钥存储在 KEYSMSTR RACF 类中:
- 使用以下 RACF 命令创建概要文件:
RDEFINE LDAPBIND profile-name
PROXY(LDAPHOST(ldap-url)
BINDDN('ldap-distinguished-name')
BINDPW(password))
UACC(NONE)
其中:
- 概要文件名称
- 是其 PROXY 段包含以下 LDAP 绑定参数的 RACF 概要文件的名称。
- LDAP-URL
- 是要访问的 LDAP 服务器的标准 URL ; 例如,
LDAP://EXAMPLE.COM:3389。
- ldap-专有名称
- 是有权从服务器查询证书撤销列表属性的 LDAP 用户的专有名称; 例如,
CN=LDAPADMIN。
- 密码
- 是用于认证 LDAP 用户的密码。 密码区分大小写。
- 通过发出以下格式的一个或多个命令,授权每个 CICS 区域用户标识访问 LDAPBIND 类中的相应绑定凭证:
PERMIT profile-name CLASS(LDAPBIND)
ACCESS(READ)
ID(region-userid)
- 在系统初始化参数 CRLPROFILE 中为每个适用的 CICS 区域指定概要文件名称。
结果
使用 CRLPROFILE 系统初始化参数中指定的概要文件名称启动 CICS 区域时,将在 CICS 区域 (由 z/OS® System SSL 管理) 的 SSL 环境中高速缓存 LDAP 服务器的绑定信息。 对 CICS 区域发出 PERFORM SSL REBUILD 命令时,将从外部安全性管理器刷新 LDAP 服务器的绑定信息。
下一步操作
如果为 CICS 区域指定了 CRLPROFILE 参数但该参数无效,或者指定的概要文件包含无效数据,或者如果在 CICS 区域启动时该概要文件标识的 LDAP 服务器不可用,那么 CICS 区域将禁用其自己对 LDAP 服务器的访问权。 消息 DFHSO0128 和 DFHSO0129 报告此问题。
要恢复访问权,必须修正错误并重新启动 CICS 区域。 如果 CICS 区域已将其禁用,那么 PERFORM SSL REBUILD 命令无法恢复对 LDAP 服务器的访问权。 仅对在发出命令时可供 CICS 区域使用的 LDAP 服务器进行刷新。