必要な z/OS システム構成の実行
IBM® HTTP Server を始動する前に、必要な z/OS® システム構成を設定する必要があります。
このタスクについて
手順
- MEMLIMIT パラメーターを設定します。 MEMLIMIT パラメーターは、特定のアドレス・スペースについて 2 ギガバイトより上位の仮想メモリーの量を制御します。
MEMLIMIT のデフォルトの設定値は 0 です。
ただし、IBM HTTP Server で提供されるすべてのバイナリー・プログラムは、64 ビット・アプリケーションで、
これらのアプリケーションは MEMLIMIT のデフォルト設定では操作可能ではありません。MEMLIMIT パラメーターは、以下の設定が可能です。
- サーバーの実行に使用するユーザー ID の OMVS セグメント内に設定することができます。
ALTUSER WWWSERV OMVS(MEMLIMIT(512M))
- parmlib メンバー SMFPRMxx を設定します。parmlib メンバー SMFPRMxx を設定することにより、システム全体で MEMLIMIT がデフォルトとして確立されます。
MEMLIMIT の設定方法の完全な説明については、「z/OS MVS Programming Extended Addressability Guide」(SA22-7614) のセクション『Limiting the use of memory objects』を参照してください。 この文書は、z/OS Internet Library からリンクを張ることができます。
IBM HTTP Server は、約 5.4 メガバイトの 64 ビット仮想メモリーをスレッドごとに必要とします。IBM HTTP Server を適切に操作するのに必要な最小の推奨 MEMLIMIT 設定は、6 * (ThreadsPerChild + 3) メガバイトです。
- サーバーの実行に使用するユーザー ID の OMVS セグメント内に設定することができます。
- 低ポートへのアクセスを許可する仕組みを構成します。 Web サーバー・ユーザー ID には、クライアント接続を処理する TCP ポートへのアクセス権が
なければなりません。Web サーバー・ポート 80 および 443 など、1024 より小さいポート値が使用されている場合、Web サーバーがポートへバインドできるようにするために特別な構成が必要です。
以下のいずれかのタイプの仕組みを使用して、低ポートへのアクセスを許可します。
- PORT ディレクティブを TCP/IP 構成内で設定する。
- RESTRICTLOWPORTS を TCP/IP 構成内で使用不可にする。
- TCP/IP 構成内の PORT ステートメントにある Web サーバーのジョブ名をコード化する。
- TCP/IP 構成内の PORT ステートメントにあるジョブ名のワイルドカードをコード化する。
- SAF および TCP/IP 構成内の PORT ステートメントにある safname 値をコード化し、Web サーバーのユーザー ID に対して SAF FACILITY クラス・プロファイル EZB.PORTACCESS.sysname.stackname.safname への読み取りアクセスを許可します。
低ポートへのアクセス許可するための構成方式についての情報は、「z/OS Communications Server IP 構成ガイド」(SC88-8926) の、『ポート・アクセス制御』および『PROFILE.TCPIP への予約済みポート番号定義の設定』のセクションを参照してください。この文書は、z/OS Internet Library からリンクを張ることができます。
Unix システム・サービスにおけるジョブ名 (IBM HTTP Server インスタンス用のジョブ名など) の決定方法については、 「z/OS UNIX System Services 計画」(GA88-8639) のセクション『OMVS アドレス・スペースのジョブ名の生成』を参照してください。この文書を z/OS Internet Library からリンクしてください。
- 必要な System Authorization Facility (SAF) 構成。
- IBM HTTP Server のユーザー ID およびグループを作成します。新規または既存の ユーザー ID を使用できます。これには OMVS セグメントが必要で、UID をゼロにすることは できません。次の例は、新規ユーザーおよびグループを作成するための RACF® コマンドを示しています。
Password example ADDGROUP WWWGROUP OMVS(GID(999)) ADDUSER WWWSERV DFLTGRP(WWWGROUP) OMVS(UID(999)) PASSWORD(password)
セキュリティー管理者は、Web サーバー・ユーザー ID に対してパスワードを定義し、デフォルトで許可しないようにしてください。これは、非認証済みのユーザーがその Web サーバー・ユーザー ID でログインするのを防ぐためです。 ALTUSER コマンドを使用して、既存のユーザー ID のパスワードを変更することができます。パスワード句の例 ADDGROUP WWWGROUP OMVS(GID(999)) ADDUSER WWWSERV DFLTGRP(WWWGROUP) OMVS(UID(999)) PHRASE('my0users@99#701_workgroup')
注: JCL カタログ式プロシージャーを使用して IBM HTTP Server インスタンスを始動する場合は、SAF STARTED プロファイルを作成して、サーバーのユーザー ID およびグループ ID をサーバー開始タスクに割り当ててください。例えば、WEBSRV1 という名前でカタログ式プロシージャーを使用するには、以下のようにします。RDEFINE STARTED WEBSRV1.* STDATA(USER(WWWSERV) GROUP(WWWGROUP) TRACE(YES))
- 必要な MVS データ・セットのプログラム制御を設定します。プログラム制御が 以下の MVS データ・セットに対してオンになっていることを確認します。hlq の場合、 システム・インストールの高位修飾子を入力します。例えば、SYS1.LINKLIB と入力します。
- hlq.LINKLIB
- hlq.SCEERUN
- hlq.SCEERUN2
- hlq.SCLBDLL
以下の例には、 RACF コマンドを使用してプログラム制御をオンにする方法が示されています。別のセキュリティー製品を使用している場合は、 その製品の資料の指示を参照してください。はじめてプログラム制御をオンにする場合は、 RALTER ステートメントではなく RDEFINE ステートメントを使用する必要があります。
この例では、データ・セット内のすべてのプログラムを指定するために、 アスタリスク (*) が使用されています。RALTER PROGRAM * ADDMEM('hlq.LINKLIB'//NOPADCHK) UACC(READ) RALTER PROGRAM * ADDMEM('hlq.SCEERUN'//NOPADCHK) UACC(READ) RALTER PROGRAM * ADDMEM('hlq.SCLBDLL') UACC(READ) SETROPTS WHEN(PROGRAM) REFRESH
- HFS ファイルのプログラム制御を設定します。SMP/E インストール・ロジックは、提供されるライブラリーおよびそれを必要とする実行可能ファイル用のプログラム制御ビットを使用可能にします。 カスタム・プラグイン・モジュールをインストールする場合、extattr コマンドを使用して、 APF およびプログラム制御フラグを使用可能にします。以下に例を示します。
この例では、/opt/IBM/HTTPServer/ の代わりに IBM HTTP Server インストール・ロケーションを使用します(提供される apxs スクリプトを使用して、カスタム・プラグイン・モジュールをビルドすることができます。)# extattr +ap /opt/IBM/HTTPServer/modules/mod_jauth.so
- z/OS System SSL のプログラム制御を設定します。インターネットでセキュアな通信を提供するように IBM HTTP Server を設定する場合、IBM HTTP Server は z/OS System Secure Sockets Layer (SSL) を使用してセキュアな接続を確立します。IBM HTTP Server が System SSL を使用できるようにするには、以下を行う必要があります。
- System SSL ロード・ライブラリー (hlq.SIEALNKE) を、システム・リンク・リスト、または HTTP Server カタログ式プロシージャー内の STEPLIB DD 連結に追加します。
- RACF でプログラム制御 hlq.SIEALNKE を設定します。
RACF を使用してプログラム制御をオンにするには、 以下のコマンドを実行します。
はじめてプログラム制御をオンにする場合は、 RALTER ステートメントではなく RDEFINE ステートメントを使用します。 別のセキュリティー製品を使用している場合は、 その製品の資料の指示を参照してください。RALTER PROGRAM * ADDMEM('hlq.SIEALNKE'//NOPADCHK) UACC(READ) SETROPTS WHEN(PROGRAM) REFRESH
- SAF 鍵リングへアクセスします。SSL および LDAP 認証サポートでは、 オプションで、SAF 鍵リングに保管された証明書を使用できます。これには、 Web サーバー・ユーザー ID に特定の SAF 許可がある必要があります。特に、鍵リングを使用するために、 Web サーバー・ユーザー ID が IRR.DIGTCERT.LISTRING ファシリティーに対して許可されている必要があります。 以下に、必要となる一般的なステップを挙げます。
- None の汎用アクセスを使用して、IRR.DIGTCERT.LIST および IRR.DIGTCERT.LISTRING リソースを 定義します。
- FACILITY クラス内の IRR.DIGTCERT.LIST および IRR.DIGTCERT.LISTRING リソースに対する Web サーバー・ユーザー ID の読み取りアクセスを許可します。
- FACILITY 一般リソース・クラスをアクティブにします。
- FACILITY 一般リソース・クラスを更新します。
以下のコマンドは RACF コマンドです。WWWSERV を、 IBM HTTP Server が始動する実際のユーザー ID に置換します。
RACF コマンドの完全なガイドについては、「z/OS Security Server RACF Security セキュリティー管理者のガイド」(SA88-8613) を参照してください。 この文書は、z/OS Internet Library からリンクを張ることができます。RDEFINE FACILITY IRR.DIGTCERT.LIST UACC(NONE) PE IRR.DIGTCERT.LIST CLASS(FACILITY) ID(WWWSERV) ACCESS(READ) RDEFINE FACILITY IRR.DIGTCERT.LISTRING UACC(NONE) PE IRR.DIGTCERT.LISTRING CLASS(FACILITY) ID(WWWSERV) ACCESS(READ) SETR CLASSACT(FACILITY) SETR RACLIST(FACILITY) REFRESH
- ハードウェア暗号化の CSFSERV に対するユーザー ID の許可:
Integrated Cryptographic Services Facility (ICSF) は、暗号ハードウェアに対するソフトウェア・インターフェースです。 暗号ハードウェア機能を使用して IBM HTTP Server を実行する計画がある場合、 ICSF サービスの使用を制限することができます。ICSF サービスの使用を制限するには、 CSFSERV 一般リソース・クラス内の特定プロファイルに対して、 ユーザー ID を許可することができます。CSFSERV は ICSF ソフトウェアの使用を制御します。ゼロ以外のユーザー ID を使用して実行するように IBM HTTP Server を定義した場合、 ゼロ以外のユーザー ID READ アクセス権を CSFSERV に与えることができます。RACF 以外のセキュリティー製品を使用している場合は、その製品の資料の指示を参照してください。
ICSF サービスの使用を制限する場合は、以下の例のコマンドのような RACF コマンドを実行します。ICSF を使用している IBM HTTP Server 以外のアプリケーションがある場合、 例をカスタマイズする必要があります。そうでない場合は、他のアプリケーションは、 ICSF サービスへのアクセス権を持たなくなります。
重要: 最新の Transport Layer Security (TLS) サポートでは、 CSFSERV 一般リソース・クラスが構成され、IBM HTTP Server ユーザー ID からアクセス可能でなければなりません。 通常動作中にサーバーによる乱数生成で CSFRNG 呼び出しが生成されるため、この構成が必要です。以下の例では、CSFSERV 内のプロファイルに対して、WWWSERV ID および PUBLIC ID アクセスを許可する方法が示されています。SETROPTS RACLIST(CSFSERV) GENERIC(CSFSERV) RDEFINE CSFSERV CSF* UACC(NONE) PERMIT CSF%%C CLASS(CSFSERV) ID(WWWSERV PUBLIC) ACCESS(READ) PERMIT CSFPK% CLASS(CSFSERV) ID(WWWSERV PUBLIC) ACCESS(READ) PERMIT CSFCK% CLASS(CSFSERV) ID(WWWSERV PUBLIC) ACCESS(READ) SETROPTS CLASSACT(CSFSERV) SETROPTS RACLIST(CSFSERV) GENERIC(CSFSERV) REFRESH
以下の例では、ユーザー ID および WWWSERV ID アクセス権を CSFSERV 内のプロファイルに与える方法が示されています。SETROPTS RACLIST(CSFSERV) GENERIC(CSFSERV) RDEFINE CSFSERV CSF%%C UACC(READ) RDEFINE CSFSERV CSFPK% UACC(READ) RDEFINE CSFSERV CSFCK% UACC(READ) SETROPTS CLASSACT(CSFSERV) SETROPTS RACLIST(CSFSERV) GENERIC(CSFSERV) REFRESH
- 暗号ハードウェアを使用した鍵の保管 (オプション):
暗号デバイス上で鍵を保管するには、「z/OS Security Server RACF Security セキュリティー管理者のガイド」(SA88-8613) のセクション『統合暗号化サービス機能 (ICSF) の考慮事項』を参照してください。
ICSF オプションの詳細情報については、「z/OS Cryptographic Services System SSL (Secure Sockets Layer) プログラミング」(SD88-6252) のセクション『ハードウェア暗号化機能と System SSL の併用』を参照してください。
これらの文書は両方共に、z/OS Internet Library からリンクを張ることができます。
- IBM HTTP Server のユーザー ID およびグループを作成します。
- 環境変数 * _BPX_JOBNAME の設定 (オプション): IBM HTTP Server では、ファイル <installroot>/bin/envvars を提供しており、このファイルで httpd プロセスの変環境変数を設定します。環境変数 * _BPX_JOBNAME を設定して、固有のジョブ名をサーバーに対して指定することができます。 これにより、以下のことが可能になります。
- MVS オペレーター・コマンドおよび System Display and Search Facility (SDSF) でサーバーを表示する。
- サーバーをワークロード管理 (WLM) でカテゴリー化して、ウェブ・トラフィックに必要な優先順位を与える。
- サーバーの syslogd を分離して使用する。
- ジョブ名によって選択された TCP/IP 構成内の PORT ステートメントを使用する。
典型的な設定は export _BPX_JOBNAME=HTTPD です。 デフォルトでは、HTTPD1、HTTPD2、HTTPD3 などの増分整数をジョブ名に追加します。 詳細情報については、「z/OS UNIX System Services 計画」(GA88-8639) のセクション『OMVS アドレス・スペースのジョブ名の生成』を参照してください。 この文書を z/OS Internet Library からリンクしてください。
_BPX_JOBNAME 変数を使用してジョブ名を設定する場合、サーバーを稼働する際に使用するユーザー ID は、SAF FACILITY プロファイル BPX.JOBNAME に対する読み取り権限を持っていなければなりません。 以下に例を示します。
詳細情報については、「z/OS UNIX System Services 計画」(GA88-8639) のセクション『BPX.* FACILITY クラス・プロファイルのセットアップ』を参照してください。この文書を z/OS Internet Library からリンクしてください。RDEFINE FACILITY BPX.JOBNAME UACC(NONE) SETROPTS RACLIST(FACILITY) REFRESH PERMIT BPX.JOBNAME CLASS(FACILITY) ACCESS(READ) ID(WWWSERV) SETROPTS RACLIST(FACILITY) REFRESH RLIST FACILITY BPX.JOBNAME ALL


http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=ihs-dist&topic=tihs_sysconfigz
ファイル名:tihs_sysconfigz.html