Avant de démarrer IBM® HTTP Server, vous devez définir quelques configurations système z/OS requises.
ALTUSER WWWSERV OMVS(MEMLIMIT(512M))
Pour obtenir une description complète de la façon dont MEMLIMIT doit être défini, consultez la section "Limiting the use of memory objects" dans le document z/OS MVS Programming Extended Addressability Guide (SA22-7614). Ce document est accessible depuis le lien Bibliothèque Internet z/OS.
IBM HTTP Server requiert environ 5,4 mégaoctets de mémoire 64 bits par unité d'exécution. Le paramètre MEMLIMIT minimum recommandé pour un fonctionnement approprié d'IBM HTTP Server est : 6 * (unités d'exécution par enfant + 3) mégaoctets.
Pour plus d'informations sur les méthodes de configuration pour permettre l'accès aux ports inférieurs, consultez les sections "Port access control" et "Setting up reserved port number definitions in PROFILE.TCPIP" dans le document z/OS Communications Server IP Configuration Guide (SC31-8775). Ce document est accessible depuis le lien Bibliothèque Internet z/OS.
Pour obtenir une explication sur la détermination des noms de travaux des services système UNIX (comme ceux des instances d'IBM HTTP Server), consultez la section "Generating jobnames for OMVS address spaces" dans le document z/OS UNIX System Services Planning (GA22-7800). Ce document est accessible depuis la bibliothèque Internet z/OS.
Exemple de mot de passe
ADDGROUP WWWGROUP OMVS(GID(999))
ADDUSER WWWSERV DFLTGRP(WWWGROUP) OMVS(UID(999)) PASSWORD(mot de passe)
Exemple d'expression du mot de passe
ADDGROUP WWWGROUP OMVS(GID(999))
ADDUSER WWWSERV DFLTGRP(WWWGROUP) OMVS(UID(999)) PHRASE('my0users@99#701_workgroup')
L'administrateur de la sécurité doit définir le mot de passe de l'ID utilisateur du serveur Web (plutôt que d'autoriser celui par défaut), afin d'empêcher tout utilisateur non autorisé de se connecter avec cet ID utilisateur. La commande ALTUSER peut être utilisée pour modifier le mot de passe d'un ID utilisateur existant.RDEFINE STARTED WEBSRV1.* STDATA(USER(WWWSERV) GROUP(WWWGROUP) TRACE(YES))
RALTER PROGRAM * ADDMEM('hlq.LINKLIB'//NOPADCHK) UACC(READ)
RALTER PROGRAM * ADDMEM('hlq.SCEERUN'//NOPADCHK) UACC(READ)
RALTER PROGRAM * ADDMEM('hlq.SCLBDLL') UACC(READ)
SETROPTS WHEN(PROGRAM) REFRESH
Dans cet exemple, une astérisque (*)
caractérise tous les programmes du fichier. # extattr +ap /opt/IBM/HTTPServer/modules/mod_jauth.so
Dans cet exemple, remplacez l'emplacement d'installation d'IBM HTTP Server par /opt/IBM/HTTPServer/.
(Vous pouvez générer des modules de plug-in personnalisés à l'aide du script apxs qui vous est fourni.)RALTER PROGRAM * ADDMEM('hlq.SIEALNKE'//NOPADCHK) UACC(READ)
SETROPTS WHEN(PROGRAM) REFRESH
Si vous activez le contrôle de programme pour la première fois, utilisez les instructions RDEFINE au lieu des instructions RALTER. Si vous utilisez un autre produit de sécurité, reportez-vous à la documentation de ce produit pour y trouver des instructions.RDEFINE FACILITY IRR.DIGTCERT.LIST UACC(NONE)
PE IRR.DIGTCERT.LIST CLASS(FACILITY) ID(WWWSERV) ACCESS(READ)
RDEFINE FACILITY IRR.DIGTCERT.LISTRING UACC(NONE)
PE IRR.DIGTCERT.LISTRING CLASS(FACILITY) ID(WWWSERV) ACCESS(READ)
SETR CLASSACT(FACILITY)
SETR RACLIST(FACILITY) REFRESH
Pour obtenir un guide complet des commandes RACF,
voir z/OS Security
Server RACF Security
Administrator's Guide (SA22-7683).
Ce document est accessible depuis le lien Bibliothèque Internet z/OS.Le mécanisme d'authentification ICSF (Integrated Cryptographic Services Facility) est l'interface logicielle du matériel de cryptographie. Si vous prévoyez d'exécuter IBM HTTP Server avec une fonction de matériel de cryptographie, vous pouvez restreindre l'utilisation des services ICSF. Pour restreindre l'utilisation des services ICSF, vous pouvez donner aux ID utilisateurs des droits d'accès à certains profils dans la classe de ressources générale CSFSERV. CSFSERV contrôle l'utilisation du logiciel ICSF. Si vous avez défini votre système IBM HTTP Server pour qu'il s'exécute avec un ID utilisateur autre que zéro, vous pouvez donner à l'ID utilisateur autre que zéro l'accès en lecture à CSFSERV. Si vous utilisez un produit de sécurité autre que RACF, reportez-vous à la documentation de ce produit pour y trouver des instructions.
Pour restreindre l'utilisation des services ICSF, exécutez les commandes RACF de la même façons que les commandes des exemples suivants. Si vous avez des applications autres qu'IBM HTTP Server qui utilisent ICSF, vous devez personnaliser les exemples. Sinon, les autres applications n'accéderont plus aux services ICSF.
SETROPTS RACLIST(CSFSERV) GENERIC(CSFSERV)
RDEFINE CSFSERV CSF* UACC(NONE)
PERMIT CSF%%C CLASS(CSFSERV) ID(WWWSERV PUBLIC) ACCESS(READ)
PERMIT CSFPK% CLASS(CSFSERV) ID(WWWSERV PUBLIC) ACCESS(READ)
PERMIT CSFCK% CLASS(CSFSERV) ID(WWWSERV PUBLIC) ACCESS(READ)
SETROPTS CLASSACT(CSFSERV)
SETROPTS RACLIST(CSFSERV) GENERIC(CSFSERV) REFRESH
SETROPTS RACLIST(CSFSERV) GENERIC(CSFSERV)
RDEFINE CSFSERV CSF%%C UACC(READ)
RDEFINE CSFSERV CSFPK% UACC(READ)
RDEFINE CSFSERV CSFCK% UACC(READ)
SETROPTS CLASSACT(CSFSERV)
SETROPTS RACLIST(CSFSERV) GENERIC(CSFSERV) REFRESH
Pour mettre en oeuvre le stockage de clés sur des unités cryptographiques, consultez la section "Integrated Cryptographic Service Facility (ICSF) Considerations" dans le document z/OS Security Server RACF Security Administrator's Guide (SA22-7683).
Pour plus d'informations sur les options ICSF, consultez la section "Using Hardware Cryptographic Features with System SSL" dans le document z/OS Cryptographic Services System Secure Sockets Layer (SSL) Programming (SC24-5901).
Ces deux documents sont accessibles depuis le lien Bibliothèque Internet z/OS.
Un paramètre typique est : export _BPX_JOBNAME=HTTPD. Par défaut, un entier incrémental est ajouté au nom de travail, par exemple HTTPD1, HTTPD2, HTTPD3. Pour plus d'informations, consultez la section "Generating jobnames for OMVS address spaces" dans le document z/OS UNIX System Services Planning (GA22-7800). Ce document est accessible depuis la bibliothèque Internet z/OS.
RDEFINE FACILITY BPX.JOBNAME UACC(NONE)
SETROPTS RACLIST(FACILITY) REFRESH
PERMIT BPX.JOBNAME CLASS(FACILITY) ACCESS(READ) ID(WWWSERV)
SETROPTS RACLIST(FACILITY) REFRESH
RLIST FACILITY BPX.JOBNAME ALL
Pour obtenir plus d'informations, consultez la section "Setting up the BPX.* FACILITY class profiles" dans le document z/OS UNIX System Services
Planning (GA22-7800).
Ce document est accessible depuis la bibliothèque Internet z/OS.