[z/OS]

IBM HTTP Server V5.3 for z/OS : Partie 4 : Configuration de base

De nombreuses fonctions d'IBM® HTTP Server V5.3 for z/OS sont disponibles dans IBM HTTP Server, mais implémentées différemment. Vous allez apprendre quelles sont les différences clés de la configuration de base entre les deux serveurs Web.

Les parties et chapitres correspondent aux parties et chapitres de la publication numéro SC34-4826-09 du manuel z/OS HTTP Server Planning, Install, and Using d'IBM HTTP Server V5.3 for z/OS.

Les rubriques suivantes s'appliquent au chapitre 7 :
Les rubriques suivantes s'appliquent au chapitre 8 :
Les rubriques suivantes s'appliquent au chapitre 9 :

Utilisation des fichiers

IBM HTTP Server peut utiliser des fichiers statiques ou exécuter des fichiers script CGI. Ces fichiers peuvent se trouver dans des répertoires par défaut ou dans des répertoires que vous spécifiez. Vous pouvez utiliser divers directives pour ces fichiers. Utilisez la section Directory pour regrouper les directives et indiquer qu'elles s'appliquent à un répertoire particulier.

Les fichiers statiques se trouvent dans le répertoire install_root/htdocs par défaut. Vous pouvez indiquer un répertoire de remplacement dans la directive Alias afin de le mapper à un préfixe d'adresse Web. Vous pouvez ensuite créer ou copier une section Directory et la faire pointer vers le répertoire de remplacement. Par exemple, vous pouvez copier la directive Directory indiquant le répertoire par défaut install_root/htdocs et passer du répertoire par défaut au répertoire install_root/static.

Les scripts CGI s'exécutent à partir du répertoire install_root/cgi-bin/ par défaut. Vous pouvez indiquer un répertoire de remplacement sur la directive ScriptAlias pour mapper le répertoire de remplacement vers un préfixe d'adresse Web. Vous pouvez ensuite créer ou copier une section Directory et la faire pointer vers le répertoire de remplacement. Par exemple, vous pouvez copier la directive Directory indiquant le répertoire par défaut install_root/cgi-bin/ et passer du répertoire par défaut au répertoire install_root/cgi2.

Pour plus d'informations sur les directives, consultez la documentation sur Apache HTTP Server.

Utilisation de listes de répertoires

La directive DirectoryIndex étant définie sur index.html dans le fichier httpd.conf par défaut, IBM HTTP Server utilise le fichier d'index de répertoire index.html pour les demandes de répertoire. Vous pouvez définir la directive DirectoryIndex dans d'autres fichiers pour utiliser IBM HTTP Server. Vous pouvez également ajouter la directive Options avec l'argument Indexes à la section Directory existante ou à une nouvelle section Directory afin que le serveur Web renvoie des informations pour ce répertoire. Si vous incluez un signe + devant l'argument Indexes, la section Directory hérite d'arguments qui sont définis sur d'autres directives Options. Si aucune des directives DirectoryIndex et Options n'est définie, le serveur Web renvoie une erreur 403.

Pour plus d'informations sur les directives, consultez la documentation sur Apache HTTP Server.

Configuration du serveur

Vous ne pouvez administrer IBM HTTP Server qu'en mettant à jour les fichiers de configuration EBCDIC.

Le fichier de configuration IBM HTTP Server par défaut est install_root/conf/httpd.conf. Si vous souhaitez revoir ou récupérer les valeurs par défaut définies, vous pouvez les consulter dans le fichier install_root/conf/httpd.conf.default.

Fichiers à sauvegarder

Sauvegardez régulièrement les fichiers suivants :
  • Le fichier de configuration (fichier install_root/conf/httpd.conf par défaut)
  • Le fichier de variable d'environnement (fichier install_root/bin/envvars)
  • Les fichiers SSL (Secure Sockets Layer), tels que les fichiers suivants :
    • Les fichiers de clés comportant l'extension kdb
    • Les fichiers de dissimulation comportant l'extension sth
    • Fichiers de base de données de demandes portant l'extension rdb
    • Fichiers de liste de révocation de certificat portant l'extension crl
    • Les fichiers certificats comportant l'extension arm
  • La sortie des commandes telles que la commande install_root/bin/htpasswd, que vous pouvez utiliser pour le contrôle d'accès
  • Des listes de groupes éditées manuellement
  • Tout contenu utilisé dans des demandes HTTP, par exemple des fichiers HTML, des images, des scripts Java, des feuilles de style en cascade et des scripts CGI

Prise en charge du chiffrement

Le gouvernement américain, ainsi que d'autres gouvernements, régulent les produits utilisés pour le chiffrement et interdisent leur exportation tant que la taille des clés n'est pas strictement limitée. Lorsque le gouvernement américain met à jour les lois sur l'exportation et que les autres gouvernements mettent à jour leurs lois sur l'importation, les longueurs de clé et les spécifications de chiffrement prises en charge peuvent changer.

IBM HTTP Server prend en charge les chiffrements SSL répertoriés dans la rubrique Spécifications de chiffrement SSL.

Chiffrement du matériel

Vous pouvez utiliser le chiffrement du matériel pour améliorer la performance des sessions SSL entre le client et le serveur. Le plus important gain de performance pour le serveur est du à l'établissement de liaison SSL. L'établissement de liaison utilise des clés et des fonctions asymétriques. Le serveur Web utilise la technologie RSA pour implémenter la capacité d'asymétrie. Lorsque vous implémentez SSL sans chiffrement du matériel, les fonctions asymétriques sont beaucoup plus lentes que les fonctions symétriques. Par conséquent, lorsque vous implémentez le chiffrement du matériel avec le serveur Web, vérifiez que vos clés principales asymétriques sont correctement configurées. Utilisez le logiciel ICSF (Integrated Cryptographic Services Facility) pour pouvoir tirer avantage de l'augmentation des performances. Les clés principales asymétriques ne sont pas identiques aux clés RSA du serveur Web.

Les spécifications de chiffrement DES (Data Encryption Standard) et DES triple utilisent des clés asymétriques pour gérer la transmission de données. La transmission de données peut être plus rapide dans le matériel, ou pas. La meilleure rapidité de la transmission de données dans le matériel ou les logiciels dépend de la taille du flux de données. SSL doit envoyer des flux de données relativement petits, le plus souvent de 4 Ko ou moins. Les flux de données moins volumineux sont généralement plus rapides dans les logiciels. Les flux de taille moyenne peuvent être plus rapides dans le matériel ou les logiciels. Les flux très volumineux sont plus rapides dans le matériel.

Lorsque vous implémentez le chiffrement du matériel, gardez en mémoire les points suivants :
  • Le serveur Web utilise la technologie RSA pour l'établissement de liaison SSL. L'établissement de liaison est une fonction asymétrique qui utilise des paires de clés publiques/privées RSA. Vous pouvez générer des clés RSA dans des logiciels ou le matériel.
  • Si vous générez les clés RSA dans des logiciels, vous pouvez utiliser des commandes RACF ou l'utilitaire gskkyman.
  • Définissez des commandes RACF pour autoriser des ID utilisateur et l'ID du serveur Web sur des profils dans la classe de ressource générale CSFSERV. La classe de ressource générale CSFSERV contrôle l'utilisation du logiciel ICSF.

Pour plus d'informations sur l'implémentation du chiffrement du matériel, consultez les manuels appropriés. Par exemple, consultez le manuel z/OS Processor Resource/Systems Management Planning Guide sur le portail de support IBM.. Vous pouvez également consulter les manuels z/OS Cryptographic Services ICSF Administrator's Guide et z/OS Cryptographic Services ICSF System Programmer's Guide, qui sont disponibles dans la bibliothèque Internet z/OS.

Vérification de l'utilisation du chiffrement du matériel pour le chiffrement du serveur Web

ICSF est l'interface logicielle du matériel de cryptographie. Utilisez la liste de contrôle suivante si vous utilisez le chiffrement du matériel.
  • Vérifiez que les ID utilisateur et l'ID du serveur Web ont un accès à ICSF.
  • Vérifiez que la tâche démarrée d'ICSF est active.
  • Exécutez l'une ou les deux tâches suivantes via les panneaux ICSF TSO pour vous assurer qu'ICSF fonctionne correctement :
    • Vérifiez que des clés principales PKA sont définies dans ICSF.
    • Générez une clé principale PKA.

Liste de contrôle pour la configuration d'un serveur sécurisé

Pour activer TLS (Transport Layer Security), utilisez l'exemple d'hôte virtuel SSL dans le fichier conf/httpd.conf.default. L'exemple contient des éléments requis pour l'activation de TLS, notamment une directive Listen, la directive SSLEnable et un module mod_ibm_ssl.

IBM HTTP Server utilise des fichiers de clés CMS SSL comportant l'extension kdb. Vous pouvez utiliser l'utilitaire gskkyman ou la commande RACF RACDCERT pour créer et administrer un fichier de clés.
Avertissement : Ne partagez pas ces fichiers de clés entre z/OS et des plateformes réparties.

Modification de l'ordre par défaut des niveaux de chiffrement utilisés par le serveur Web

Vous pouvez utiliser la directive SSLCipherSpec pour contrôler l'ordre des niveaux de chiffrement. IBM HTTP Server impose toujours l'ordre de préférence. Consultez la directive SSLCipherSpec dans la rubrique sur les directives SSL.

Configuration du verrouillage pour les ressources du serveur

Les étapes suivantes se trouvent dans le document z/OS HTTP Server Planning, Install, and Using d'IBM HTTP Server V5.3 for z/OS. Les informations associées à chaque étape sont nécessaires à l'exécution de l'étape dans IBM HTTP Server.

Règles de spécification des noms d'utilisateur, des noms de groupe et des modèles d'adresse

Vous ne pouvez pas autoriser l'accès en fonction de la combinaison d'un nom d'utilisateur et d'une adresse, par exemple bob@192.168.1.1 et steve@192.168.2.2, sans inscrire votre propre module Apache pour l'autorisation.

Utilisation de fichiers de groupe dans des configuration de verrouillage

Un fichier de groupe dans IBM HTTP Server n'est que le mappage d'un nom de groupe vers une liste d'utilisateurs. Il ne peut pas contenir de définitions imbriquées ou inclure des spécifications d'adresse.

Fichiers de listes de contrôle d'accès

IBM HTTP Server ne dispose pas de fichiers de liste de contrôle d'accès. Vous pouvez utiliser des fichiers .htaccess pour limiter l'accès aux ressources. Cependant, évitez d'utiliser ces fichiers si vous pouvez mettre à jour le fichier httpd.conf ; l'utilisation de fichiers .htaccess ralentissant votre serveur. Comme alternative, vous pouvez inclure des directives à une directive <Directory> et placer toutes les directives dans le fichier httpd.conf.

Rubrique de référence    

Dispositions pour les centres de documentation | Commentaires

Dernière mise à jour : October 09, 2014 04:36 AM EDT
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=phil&product=ihs-dist&topic=rihs_dgwbconfig
Nom du fichier : rihs_dgwbconfig.html