Antes de iniciar IBM® HTTP Server, existen unas configuraciones del sistema z/OS necesarias que debe llevar a cabo.
ALTUSER WWWSERV OMVS(MEMLIMIT(512M))
Para obtener una descripción completa sobre cómo establecer MEMLIMIT, consulte el apartado dedicado a la limitación del uso de objetos de memoria en la publicación de z/OS MVS Programming Extended Addressability Guide (SA22-7614). Puede enlazar con este documento desde la biblioteca de Internet de z/OS.
IBM HTTP Server requiere aproximadamente 5,4 megabytes de memoria virtual de 64 bits por hebra. El valor mínimo recomendado MEMLIMIT para un funcionamiento correcto de IBM HTTP Server es: 6 * (ThreadsPerChild + 3) megabytes.
Para obtener más información sobre los métodos de configuración para permitir el acceso a los puertos más bajos, consulte los apartados sobre control de acceso a puertos y configuración de definiciones de números de puerto reservados en PROFILE.TCPIP, en la publicación de z/OS Communications Server IP Configuration Guide (SC31-8775). Puede enlazar con este documento desde la biblioteca de Internet de z/OS.
Si desea una explicación sobre cómo se determinan los nombres de trabajo de Unix System Services (como, por ejemplo, los de las instancias de IBM HTTP Server) consulte el apartado sobre generación de nombres de trabajo para espacios de direcciones OMVS de la publicación de z/OS UNIX System Services Planning (GA22-7800). Enlace con este documento desde la biblioteca de Internet de z/OS.
Ejemplo
de contraseña
ADDGROUP WWWGROUP OMVS(GID(999))
ADDUSER WWWSERV DFLTGRP(WWWGROUP) OMVS(UID(999)) PASSWORD(contraseña)
Ejemplo de frase de contraseña
ADDGROUP WWWGROUP OMVS(GID(999))
ADDUSER WWWSERV DFLTGRP(WWWGROUP) OMVS(UID(999)) PHRASE('my0users@99#701_workgroup')
El
administrador de seguridad debe definir la contraseña del ID de usuario del servidor web,
en vez de permitirlo de forma predeterminada, para evitar que un usuario no autorizado
pueda iniciar una sesión con ese ID de usuario. Puede utilizarse el mandato ALTUSER para
modificar la contraseña de un ID de usuario existente.RDEFINE STARTED WEBSRV1.* STDATA(USER(WWWSERV) GROUP(WWWGROUP) TRACE(YES))
RALTER PROGRAM * ADDMEM('hlq.LINKLIB'//NOPADCHK) UACC(READ)
RALTER PROGRAM * ADDMEM('hlq.SCEERUN'//NOPADCHK) UACC(READ)
RALTER PROGRAM * ADDMEM('hlq.SCLBDLL') UACC(READ)
SETROPTS WHEN(PROGRAM) REFRESH
En este ejemplo, se utiliza un asterisco (*)
para especificar todos los programas del conjunto de datos. # extattr +ap /opt/IBM/HTTPServer/modules/mod_jauth.so
En este ejemplo, sustituya la ubicación de instalación de IBM HTTP Server
por /opt/IBM/HTTPServer/. (Puede crear módulos de plug-in personalizados utilizando el script apxs
proporcionado.)RALTER PROGRAM * ADDMEM('hlq.SIEALNKE'//NOPADCHK) UACC(READ)
SETROPTS WHEN(PROGRAM) REFRESH
Cuando active el control del programa por primera vez, utilice la sentencia RDEFINE en lugar de las sentencias RALTER. Si utiliza otro producto de seguridad, consulte la documentación de dicho producto si desea obtener instrucciones.RDEFINE FACILITY IRR.DIGTCERT.LIST UACC(NONE)
PE IRR.DIGTCERT.LIST CLASS(FACILITY) ID(WWWSERV) ACCESS(READ)
RDEFINE FACILITY IRR.DIGTCERT.LISTRING UACC(NONE)
PE IRR.DIGTCERT.LISTRING CLASS(FACILITY) ID(WWWSERV) ACCESS(READ)
SETR CLASSACT(FACILITY)
SETR RACLIST(FACILITY) REFRESH
Para ver una guía completa de
los mandatos RACF,
consulte la publicación z/OS Security Server RACF Security
Administrator's Guide (SA22-7683). Puede enlazar con este documento desde la biblioteca de Internet de z/OS. El recurso ICSF (Integrated Cryptographic Services Facility) es la interfaz de software con el hardware de cifrado. Si tiene previsto ejecutar IBM HTTP Server con la capacidad de hardware de cifrado, puede restringir el uso de los servicios ICSF. Para restringir el uso de los servicios ICSF, puede dar permiso a los ID de usuario a determinados perfiles en la clase de recurso general CSFSERV. CSFSERV controla el uso del software ICSF. Si ha definido IBM HTTP Server para ejecutarse con un ID de usuario que no es cero, puede otorgar al ID de usuario que no es cero acceso READ (lectura) a CSFSERV. Si utiliza un producto de seguridad distinto a RACF, consulte la documentación de dicho producto si desea obtener instrucciones.
Si desea restringir el uso de los servicios ICSF, emita mandatos RACF similares a los mandatos que aparecen en los ejemplos siguientes. Si tiene aplicaciones que no son de IBM HTTP Server que utilizan ICSF, debe personalizar los ejemplos. De lo contrario, las otras aplicaciones ya no tendrán acceso a los servicios ICSF.
SETROPTS RACLIST(CSFSERV) GENERIC(CSFSERV)
RDEFINE CSFSERV CSF* UACC(NONE)
PERMIT CSF%%C CLASS(CSFSERV) ID(WWWSERV PUBLIC) ACCESS(READ)
PERMIT CSFPK% CLASS(CSFSERV) ID(WWWSERV PUBLIC) ACCESS(READ)
PERMIT CSFCK% CLASS(CSFSERV) ID(WWWSERV PUBLIC) ACCESS(READ)
SETROPTS CLASSACT(CSFSERV)
SETROPTS RACLIST(CSFSERV) GENERIC(CSFSERV) REFRESH
SETROPTS RACLIST(CSFSERV) GENERIC(CSFSERV)
RDEFINE CSFSERV CSF%%C UACC(READ)
RDEFINE CSFSERV CSFPK% UACC(READ)
RDEFINE CSFSERV CSFCK% UACC(READ)
SETROPTS CLASSACT(CSFSERV)
SETROPTS RACLIST(CSFSERV) GENERIC(CSFSERV) REFRESH
Para realizar el almacenamiento de claves en dispositivos criptográficos, consulte el apartado "Consideraciones sobre el Recurso de servicio criptográfico integrado (ICSF)" en la publicación de z/OS Security Server RACF Security Administrator's Guide (SA22-7683).
Para obtener información sobre las opciones de ICSF, consulte el apartado "Utilización de características criptográficas de hardware con System SSL" en la publicación de z/OS Cryptographic Services System Secure Sockets Layer (SSL) Programming (SC24-5901).
Puede enlazar con ambos documentos desde la biblioteca de Internet de z/OS.
Un valor típico es: export _BPX_JOBNAME=HTTPD. El valor predeterminado es agregar un entero incremental al nombre de trabajo como, por ejemplo, HTTPD1, HTTPD2, HTTPD3. Para obtener más información, consulte el apartado "Generación de nombres de trabajo para espacios de direcciones OMVS" en la publicación de z/OS UNIX System Services Planning (GA22-7800). Enlace con este documento desde la biblioteca de Internet de z/OS.
RDEFINE FACILITY BPX.JOBNAME UACC(NONE)
SETROPTS RACLIST(FACILITY) REFRESH
PERMIT BPX.JOBNAME CLASS(FACILITY) ACCESS(READ) ID(WWWSERV)
SETROPTS RACLIST(FACILITY) REFRESH
RLIST FACILITY BPX.JOBNAME ALL
Para obtener
más información, consulte el apartado "Configuración de los perfiles de clase
BPX.* FACILITY" en la publicación de z/OS UNIX System
Services Planning (GA22-7800). Enlace con este documento desde la biblioteca de Internet de z/OS.