Когда liberty on z получает сертификат клиента, как получить связанный идентификатор пользователя, если реестр безопасности является SAF(MVS RACF)?

Я использую zOS RACF в качестве реестра безопасности в свободном доступе на z, настроенный SSL, требует аутентификации клиента. Рукопожатие работает хорошо, но не удалось получить идентификатор пользователя из сертификата. Из https://www.ibm.com/support/knowledgecenter/SS7K4U_liberty/com.ibm.websphere.wlp.zseries.doc/ae/twlp_sec_clientcert.html

Шаг 6. Убедитесь, что все клиентские сертификаты, используемые для аутентификации клиента, сопоставлены с идентификационной информацией пользователя в вашем реестре.

Для базового реестра идентификатором пользователя является общее имя (CN) из отличительного имени (DN) сертификата. Для реестра упрощенного протокола доступа к каталогам (LDAP) DN из сертификата клиента должно быть в реестре LDAP.

Описываются базовый реестр и LDAP, но что произойдет, когда я использую RACF в качестве реестра безопасности? Из теста не работает, ID пользователя не может быть получен.

Кто-нибудь знает, поддерживается ли он, и если да, то как получить идентификатор пользователя из сертификата?