Antes de iniciar o IBM® HTTP Server, há configurações do sistema z/OS necessárias que você deve configurar.
ALTUSER WWWSERV OMVS(MEMLIMIT(512M))
Para obter uma descrição completa de como configurar MEMLIMIT, consulte a seção "Limiting the use of memory objects" no z/OS MVS Programming Extended Addressability Guide (SA22-7614). É possível acessar esse documento a partir do z/OS Internet Library.
O IBM HTTP Server requer aproximadamente 5,4 megabytes de memória virtual de 64 bits por encadeamento. A configuração mínima recomendada de MEMLIMIT para a operação adequada do IBM HTTP Server é: 6 * (ThreadsPerChild + 3) megabytes.
Para obter mais informações sobre os métodos de configuração para permitir acesso a portas com valores baixos, consulte as seções "Controle de acesso de porta" e "Configurando as definições de número da porta reservado no PROFILE.TCPIP" no z/OS Communications Server IP Configuration Guide (SC31-8775). É possível acessar esse documento a partir do z/OS Internet Library.
Para obter uma explicação de como os nomes de tarefa do Unix System Services (como os nomes de tarefas das instâncias do IBM HTTP Server) são determinados, consulte a seção "Gerando nomes de tarefa para espaços de endereço OMVS" em z/OS UNIX System Services Planning (GA22-7800). Crie o link para este documento a partir do z/OS Internet Library.
Exemplo de senhas
ADDGROUP WWWGROUP OMVS(GID(999))
ADDUSER WWWSERV DFLTGRP(WWWGROUP) OMVS(UID(999)) PASSWORD(password)
Exemplo de passphrase
ADDGROUP WWWGROUP OMVS(GID(999))
ADDUSER WWWSERV DFLTGRP(WWWGROUP) OMVS(UID(999)) PHRASE('my0users@99#701_workgroup')
O administrador de segurança deve definir a senha para o ID do usuário do servidor da Web, em vez de permitir que ela seja padrão, para evitar que um usuário não autorizado efetue logon com esse ID do usuário. O comando ALTUSER pode ser usado para
modificar a senha de um ID do usuário existente.RDEFINE STARTED WEBSRV1.* STDATA(USER(WWWSERV) GROUP(WWWGROUP) TRACE(YES))
RALTER PROGRAM * ADDMEM('hlq.LINKLIB'//NOPADCHK) UACC(READ)
RALTER PROGRAM * ADDMEM('hlq.SCEERUN'//NOPADCHK) UACC(READ)
RALTER PROGRAM * ADDMEM('hlq.SCLBDLL') UACC(READ)
SETROPTS WHEN(PROGRAM) REFRESH
Nesse exemplo, um asterisco (*)
é utilizado para especificar todos os programas no conjunto de dados. # extattr +ap /opt/IBM/HTTPServer/modules/mod_jauth.so
Neste
exemplo, substitua o local da instalação do IBM HTTP Server
para /opt/IBM/HTTPServer/.
(Você pode construir módulos de plug-in customizados utilizando o script apxs fornecido).RALTER PROGRAM * ADDMEM('hlq.SIEALNKE'//NOPADCHK) UACC(READ)
SETROPTS WHEN(PROGRAM) REFRESH
Se você estiver ativando o controle de programa
pela primeira vez, será necessário utilizar as instruções RDEFINE
em vez de instruções RALTER. Se você estiver utilizando outro produto de
segurança, consulte a documentação desse produto para obter instruções.RDEFINE FACILITY IRR.DIGTCERT.LIST UACC(NONE)
PE IRR.DIGTCERT.LIST CLASS(FACILITY) ID(WWWSERV) ACCESS(READ)
RDEFINE FACILITY IRR.DIGTCERT.LISTRING UACC(NONE)
PE IRR.DIGTCERT.LISTRING CLASS(FACILITY) ID(WWWSERV) ACCESS(READ)
SETR CLASSACT(FACILITY)
SETR RACLIST(FACILITY) REFRESH
Para obter um guia completo para os comandos RACF, consulte o z/OS Security Server RACF Security Administrator's Guide (SA22-7683).
É possível acessar esse documento a partir do z/OS Internet Library.O ICSF (Integrated Cryptographic Services Facility) é a interface de software para o hardware de criptografia. Se planeja executar o IBM HTTP Server com o recurso de hardware de criptografia, é possível restringir o uso de serviçoss do ICSF. Para restringir o uso de serviços ICSF, você pode permitir IDs de usuários para determinados perfis na classe de recursos geral CSFSERV. CSFSERV controla o uso de software do ICSF. Se tiver definido seu IBM HTTP Server para executar com um ID do usuário diferente de zero, será possível fornecer o acesso de LEITURA do ID do usuário diferente de zero para CSFSERV. Se estiver usando um produto de segurança diferente de RACF, consulte a documentação desse produto para obter instruções.
Se desejar restringir o uso de serviços ICSF, emita comandos RACF semelhantes aos comandos nos exemplos a seguir. Se tiver aplicativos diferentes de IBM HTTP Server que estão usando ICSF, você deverá customizar os exemplos. Do contrário, os outros aplicativos não terão mais acesso aos serviços ICSF.
SETROPTS RACLIST(CSFSERV) GENERIC(CSFSERV)
RDEFINE CSFSERV CSF* UACC(NONE)
PERMIT CSF%%C CLASS(CSFSERV) ID(WWWSERV PUBLIC) ACCESS(READ)
PERMIT CSFPK% CLASS(CSFSERV) ID(WWWSERV PUBLIC) ACCESS(READ)
PERMIT CSFCK% CLASS(CSFSERV) ID(WWWSERV PUBLIC) ACCESS(READ)
SETROPTS CLASSACT(CSFSERV)
SETROPTS RACLIST(CSFSERV) GENERIC(CSFSERV) REFRESH
SETROPTS RACLIST(CSFSERV) GENERIC(CSFSERV)
RDEFINE CSFSERV CSF%%C UACC(READ)
RDEFINE CSFSERV CSFPK% UACC(READ)
RDEFINE CSFSERV CSFCK% UACC(READ)
SETROPTS CLASSACT(CSFSERV)
SETROPTS RACLIST(CSFSERV) GENERIC(CSFSERV) REFRESH
Para executar armazenamento de chaves em dispositivos criptográficos, consulte a seção "Considerações do Integrated Cryptographic Service Facility (ICSF)" no z/OS Security Server RACF Security Administrator's Guide (SA22-7683).
Para obter informações sobre as opções do ICSF, consulte a seção "Usando Recursos Criptográficos de Hardware com SSL do Sistema" no z/OS Cryptographic Services System Secure Sockets Layer (SSL) Programming (SC24-5901).
É possível vincular ambos os documentos a partir do z/OS Internet Library.
Uma configuração típica é: export _BPX_JOBNAME=HTTPD. O padrão é anexar um inteiro de incremento no nome da tarefa, como HTTPD1, HTTPD2, HTTPD3. Para obter mais informações, consulte a seção "Gerando nomes de tarefa para espaços de endereços OMVS" no z/OS UNIX System Services Planning (GA22-7800). Crie o link para este documento a partir do z/OS Internet Library.
RDEFINE FACILITY BPX.JOBNAME UACC(NONE)
SETROPTS RACLIST(FACILITY) REFRESH
PERMIT BPX.JOBNAME CLASS(FACILITY) ACCESS(READ) ID(WWWSERV)
SETROPTS RACLIST(FACILITY) REFRESH
RLIST FACILITY BPX.JOBNAME ALL
Para obter mais informações, consulte a seção "Configurando os perfis de classe BPX.* FACILITY" no z/OS UNIX System Services Planning (GA22-7800).
Crie o link para este documento a partir do z/OS Internet
Library.