Erforderliche z/OS-Systemkonfigurationen durchführen
Bevor Sie IBM® HTTP Server starten, müssen Sie zuerst die erforderlichen z/OS-Systemkonfigurationen durchführen.
Informationen zu diesem Vorgang
- Parameter "memlimit" festlegen
- Mechanismus für den Zugriff auf Ports mit niedrigen Portnummern festlegen
- Erforderliche SAF-Konfigurationen (SAF, System Authorization Facility)
- Benutzer-ID und Gruppe für IBM HTTP Server erstellen
- Programmsteuerung für die erforderlichen MVS-Datensätze festlegen
- Programmsteuerung für HFS-Dateien festlegen
- Programmsteuerung für System SSL für z/OS festlegen
- Auf SAF-Schlüsselringe zugreifen
- Benutzer-IDs für CSFSERV für die Hardwareverschlüsselung berechtigen
- Verschlüsselungshardware für die Speicherung von Schlüsseln verwenden (optional)
- Umgebungsvariable * _BPX_JOBNAME konfigurieren (optional)
Vorgehensweise
- Legen Sie den Parameter MEMLIMIT fest. Der Parameter MEMLIMIT steuert virtuellen Speicher von mehr als zwei GB für bestimmte Adressräume. Der Standardwert
für MEMLIMIT ist "0". Alle mit IBM HTTP Server
bereitgestellten binären Programme sind jedoch 64-Bit-Anwendungen und
können mit der Standardeinstellung für MEMLIMIT nicht ausgeführt werden. Sie können den Parameter MEMLIMIT wie folgt konfigurieren:
- Im OMVS-Segment der Benutzer-ID, die zum Ausführen des Servers verwendet wird:
ALTUSER WWWSERV OMVS(MEMLIMIT(512M))
- Im parmlib-Member SMFPRMxx. Durch die Konfiguration des parmlib-Members SMFPRMxx wird der MEMLIMIT-Standardwert systemweit festgelegt.
Eine vollständige Beschreibung der Konfiguration von MEMLIMIT finden Sie im Abschnitt "Limiting the use of memory objects" in der z/OS-Veröffentlichung MVS Programming Extended Addressability Guide (IBM Form SA22-7614). Sie können dieses Dokument über die z/OS-Internetbibliothek aufrufen.
IBM HTTP Server benötigt pro Thread ungefähr 5,4 MB mit einem virtuellen 64-Bit-Speicher. Die empfohlene Mindesteinstellung für MEMLIMIT für eine ordnungsgemäße Ausführung von IBM HTTP Server beträgt: 6 * (ThreadsPerChild + 3) MB.
- Im OMVS-Segment der Benutzer-ID, die zum Ausführen des Servers verwendet wird:
- Legen Sie einen Mechanismus für den Zugriff auf Ports mit niedrigen Portnummern fest. Die Web-Server-Benutzer-ID muss auf die TCP-Ports zugreifen können, an denen die Clientverbindungen verarbeitet werden. Wenn Portwerte verwendet werden, die unter 1024 liegen,
wie die Web-Server-Ports 80 und 443, ist eine besondere Konfiguration erforderlich, damit der Web-Server an einen Port gebunden werden kann. Sie können einen der folgenden Mechanismen verwenden, um Zugriff auf Ports mit niedrigen Portnummern zu erhalten:
- Die Anweisung PORT in der TCP/IP-Konfiguration definieren.
- Die Anweisung RESTRICTLOWPORTS in der TCP/IP-Konfiguration inaktivieren.
- Den Jobnamen des Web-Servers in einer PORT-Anweisung in der TCP/IP-Konfiguration codieren.
- Ein Platzhalterzeichen für den Jobnamen in einer PORT-Anweisung in der TCP/IP-Konfiguration codieren.
- SAF und einen Wert für safname in der PORT-Anweisung in der TCP/IP-Konfiguration codieren und der Web-Server-Benutzer-ID Lesezugriff auf das SAF-FACILITY-Klassenprofil EZB.PORTACCESS.sysname.stackname.safname erteilen.
Ausführliche Informationen zu Konfigurationsmethoden für den Zugriff auf Ports mit niedrigen Portnummern, finden Sie in den Abschnitten "Port access control" und "Setting up reserved port number definitions in PROFILE.TCPIP" in der z/OS-Veröffentlichung Communications Server IP Configuration Guide (IBM Form SC31-8775). Sie können dieses Dokument über die z/OS-Internetbibliothek aufrufen.
Erläuterungen zur Bestimmung von UNIX System Services-Jobnamen (wie sie für Instanzen von IBM HTTP Server verwendet werden) finden Sie im Abschnitt "Generating jobnames for OMVS address spaces" in der z/OS-Veröffentlichung UNIX System Services Planning (IBM Form GA22-7800). Sie können dieses Dokument über die z/OS-Internetbibliothek aufrufen.
- Erforderliche SAF-Konfigurationen (SAF, System Authorization Facility).
- Erstellen Sie eine Benutzer-ID und eine Gruppe für IBM HTTP Server. Sie können eine neue oder vorhanden Benutzer-ID verwenden. Die UID muss ein OMVS-Segment besitzen und sie darf nicht null sein. Das folgende Beispiel enthält RACF-Befehle zur Erstellung eines neuen Benutzers und einer Gruppe.
Kennwortbeispiel ADDGROUP WWWGROUP OMVS(GID(999)) ADDUSER WWWSERV DFLTGRP(WWWGROUP) OMVS(UID(999)) PASSWORD(Kennwort)
Der Sicherheitsadministrator sollte das Kennwort für die Web-Server-Benutzer-ID festlegen und nicht den Standardwert verwenden, um zu verhindern, dass nicht autorisierte Benutzer sich mit dieser Benutzer-ID anmelden können. Mit dem Befehl "ALTUSER" kann das Kennwort einer vorhandenen Benutzer-ID geändert werden.Beispiel für Kennwortphrase ADDGROUP WWWGROUP OMVS(GID(999)) ADDUSER WWWSERV DFLTGRP(WWWGROUP) OMVS(UID(999)) PHRASE('my0users@99#701_workgroup')
Anmerkung: Wenn Sie eine katalogisierte JCL-Prozedur verwenden, um eine Instanz von IBM HTTP Server zu starten, erstellen Sie ein Profil SAF STARTED, um die Benutzer-ID und die Gruppen-ID des Servers der gestarteten Task des Servers zuzuordnen. Beispiel für eine katalogisierte Prozedur mit dem Namen WEBSRV1:RDEFINE STARTED WEBSRV1.* STDATA(USER(WWWSERV) GROUP(WWWGROUP) TRACE(YES))
- Legen Sie die Programmsteuerung für die erforderlichen MVS-Datensätze fest. Vergewissern Sie sich, dass die Programmsteuerung für die folgenden MVS-Datensätze aktiviert ist. Geben Sie für hlq den HLQ (High Level Qualifier) für Ihre Systeminstallation ein. Beispiel: SYS1.LINKLIB.
- hlq.LINKLIB
- hlq.SCEERUN
- hlq.SCEERUN2
- hlq.SCLBDLL
Das folgende Beispiel veranschaulicht, wie Sie die Programmsteuerung mit RACF-Befehlen aktivieren. Wenn Sie ein anderes Sicherheitsprodukt verwenden, lesen Sie die Dokumentation zu diesem Produkt, um Anweisungen hierzu zu erhalten. Wenn Sie die Programmsteuerung das erste Mal aktivieren, sollten Sie die RDEFINE-Anweisungen anstelle der RALTER-Anweisungen verwenden:
In diesem Beispiel wurde ein Stern (*) verwendet, um alle Programme im Datensatz anzugeben.RALTER PROGRAM * ADDMEM('hlq.LINKLIB'//NOPADCHK) UACC(READ) RALTER PROGRAM * ADDMEM('hlq.SCEERUN'//NOPADCHK) UACC(READ) RALTER PROGRAM * ADDMEM('hlq.SCLBDLL') UACC(READ) SETROPTS WHEN(PROGRAM) REFRESH
- Legen Sie die Programmsteuerung für HFS-Dateien fest. Die SMP/E-Installationslogik aktiviert das Programmsteuerungsbit für die bereitgestellten Bibliotheken und ausführbaren Dateien, die dieses Bit benötigen. Wenn Sie angepasste Plug-in-Module installieren möchten, verwenden Sie den Befehl extattr, um die APF- und Programmsteuerungsflags zu aktivieren. Beispiel:
Ersetzen Sie in diesem Beispiel /opt/IBM/HTTPServer/ durch das Installationsverzeichnis von IBM HTTP Server. (Sie können angepasste Plug-in-Module mit dem bereitgestellten Script apxs erstellen.)# extattr +ap /opt/IBM/HTTPServer/modules/mod_jauth.so
- Legen Sie die Programmsteuerung für System SSL für
z/OS fest. Wenn Sie IBM HTTP Server für sichere Kommunikation über das Internet konfiguriert haben, verwendet IBM HTTP Server System SSL für z/OS, um sichere Verbindungen herzustellen. Bevor IBM HTTP Server System SSL verwenden kann, müssen Sie folgende Schritte ausführen:
- Fügen Sie die Ladebibliothek für System SSL (hlq.SIEALNKE) der Systemlinkliste oder der Verknüpfung STEPLIB DD der katalogisierten Prozedur von HTTP Server hinzu.
- Setzen Sie die Programmsteuerung hlq.SIEALNKE in RACF.
Wenn Sie die Programmsteuerung mit RACF aktivieren möchten, setzen Sie den folgenden Befehl ab:
Wenn Sie die Programmsteuerung das erste Mal aktivieren, sollten Sie die RDEFINE-Anweisungen anstelle der RALTER-Anweisungen verwenden. Wenn Sie ein anderes Sicherheitsprodukt verwenden, lesen Sie die Dokumentation zu diesem Produkt, um Anweisungen hierzu zu erhalten.RALTER PROGRAM * ADDMEM('hlq.SIEALNKE'//NOPADCHK) UACC(READ) SETROPTS WHEN(PROGRAM) REFRESH
- Auf SAF-Schlüsselringe zugreifen.Die Authentifizierungsunterstützung für SSL und LDAP kann optional in SAF-Schlüsselringen gespeicherte Zertifikate verwenden. Hierfür muss die Web-Server-Benutzer-ID bestimmte SAF-Berechtigungen aufweisen. Insbesondere die Web-Server-Benutzer-ID muss für IRR.DIGTCERT.LISTRING berechtigt sein, um Schlüsselringe verwenden zu können. Nachfolgend sind die erforderlichen allgemeinen Schritte beschrieben, die ausgeführt werden müssen:
- Geben Sie für UACC für die Ressourcen IRR.DIGTCERT.LIST und IRR.DIGTCERT.LISTRING den Wert None an.
- Erteilen Sie der Web-Server-Benutzer-ID die Zugriffsberechtigung READ für die Ressourcen IRR.DIGTCERT.LIST und IRR.DIGTCERT.LISTRING in der Klasse FACILITY.
- Aktivieren Sie die allgemeine Ressourcenklasse FACILITY.
- Aktualisieren Sie die allgemeine Ressourcenklasse FACILITY.
Die folgenden Befehle sind RACF-Befehle. Ersetzen Sie WWWSERV durch die tatsächliche Benutzer-ID, unter der IBM HTTP Server gestartet wird.
Eine vollständige Übersicht über die RACF-Befehle finden Sie in der z/OS-Veröffentlichung Security Server RACF Security Administrator's Guide (IBM Form SA22-7683). Sie können dieses Dokument über die z/OS-Internetbibliothek aufrufen.RDEFINE FACILITY IRR.DIGTCERT.LIST UACC(NONE) PE IRR.DIGTCERT.LIST CLASS(FACILITY) ID(WWWSERV) ACCESS(READ) RDEFINE FACILITY IRR.DIGTCERT.LISTRING UACC(NONE) PE IRR.DIGTCERT.LISTRING CLASS(FACILITY) ID(WWWSERV) ACCESS(READ) SETR CLASSACT(FACILITY) SETR RACLIST(FACILITY) REFRESH
- Berechtigen Sie Benutzer-IDs für CSFSERV für die Hardwareverschlüsselung:
ICSF (Integrated Cryptographic Services Facility) ist die Softwareschnittstelle für Verschlüsselungshardware. Wenn Sie IBM HTTP Server mit der Funktion für Verschlüsselungshardware ausführen möchten, können Sie die Verwendung der ICSF-Services einschränken. Wenn Sie die Verwendung der ICSF-Services einschränken möchten, können Sie Benutzer-IDs Berechtigungen für bestimmte Profile in der allgemeinen Ressourcenklasse CSFSERV erteilen. Mit CSFSERV wird die Verwendung der ICSF-Software gesteuert. Wenn Sie IBM HTTP Server mit einer Benutzer-ID ausführen, die ungleich null ist, können Sie dieser Benutzer-ID die Zugriffsberechtigung READ für CSFSERV erteilen. Wenn Sie nicht RACF als Sicherheitsprodukt verwenden, lesen Sie die Dokumentation zu dem entsprechenden Sicherheitsprodukt.
Wenn Sie die Verwendung der ICSF-Services einschränken möchten, setzen Sie RACF-Befehle ähnlich den in den folgenden Beispielen genannten Befehlen ab. Wenn Sie neben IBM HTTP Server Anwendungen einsetzen, die ICSF verwenden, müssen Sie die Beispiele anpassen. Andernfalls können die anderen Anwendungen nicht mehr auf die ICSF-Services zugreifen.
Wichtig: Die moderne TLS-Unterstützung (Transport Layer Security) setzt voraus, dass die allgemeine Ressourcenklasse CSFSERV konfiguriert und für die Benutzer-ID von IBM HTTP Server zugänglich ist. Diese Konfiguration ist erforderlich, weil aufgrund der Zufallszahlgenerierung durch den Server während des normalen Betriebs CSFRNG-Aufrufe generiert werden.Das folgende Beispiel zeigt, wie Sie der ID WWWSERV und der ID PUBLIC Zugriff auf Profile in CSFSERV erteilen.SETROPTS RACLIST(CSFSERV) GENERIC(CSFSERV) RDEFINE CSFSERV CSF* UACC(NONE) PERMIT CSF%%C CLASS(CSFSERV) ID(WWWSERV PUBLIC) ACCESS(READ) PERMIT CSFPK% CLASS(CSFSERV) ID(WWWSERV PUBLIC) ACCESS(READ) PERMIT CSFCK% CLASS(CSFSERV) ID(WWWSERV PUBLIC) ACCESS(READ) SETROPTS CLASSACT(CSFSERV) SETROPTS RACLIST(CSFSERV) GENERIC(CSFSERV) REFRESH
Das folgende Beispiel zeigt, wie Sie den Benutzer-IDs und der ID WWWSERV Zugriff auf Profile in CSFSERV erteilen.SETROPTS RACLIST(CSFSERV) GENERIC(CSFSERV) RDEFINE CSFSERV CSF%%C UACC(READ) RDEFINE CSFSERV CSFPK% UACC(READ) RDEFINE CSFSERV CSFCK% UACC(READ) SETROPTS CLASSACT(CSFSERV) SETROPTS RACLIST(CSFSERV) GENERIC(CSFSERV) REFRESH
- Verschlüsselungshardware für die Speicherung von Schlüsseln verwenden (optional):
Informationen zum Speichern von Schlüsseln auf Verschlüsselungseinheiten finden Sie im Abschnitt "Integrated Cryptographic Service Facility (ICSF) Considerations" in der z/OS-Veröffentlichung Security Server RACF Security Administrator's Guide (IBM Form SA22-7683).
Informationen zu ICSF-Optionen finden Sie im Abschnitt "Using Hardware Cryptographic Features with System SSL" in der z/OS-Veröffentlichung "Cryptographic Services System Secure Sockets Layer (SSL) Programming" (IBM Form SC24-5901).
Sie können diese beiden Dokumente über die z/OS-Internetbibliothek aufrufen.
- Erstellen Sie eine Benutzer-ID und eine Gruppe für IBM HTTP Server.
- Umgebungsvariable * _BPX_JOBNAME konfigurieren (optional): IBM HTTP Server stellt die Datei <Installationsstammverzeichnis>/bin/envvars für die Konfiguration von Umgebungsvariablen für die httpd-Prozesse bereit. Konfigurieren Sie die Umgebungsvariable * _BPX_JOBNAME, um dem Server einen eindeutigen Jobnamen zu geben. Diese Vorgehensweise ermöglicht Folgendes:
- Sie sehen den Server in MVS-Bedienerbefehlen und in SDSF (System Display and Search Facility).
- Sie können den Server in WLM (Workload Management) kategorisieren, um Webdatenverkehr entsprechend zu priorisieren.
- Sie können syslogd-Isolation für den Server verwenden.
- Sie können PORT-Anweisungen in der TCP/IP-Konfiguration verwenden, die nach Jobnamen auswählen.
Beispiel für eine typsiche Einstellung: export _BPX_JOBNAME=HTTPD. Standardmäßig wird eine ganze Zahl an den Jobnamen angehängt und hochgezählt. Beispiel: HTTPD1, HTTPD2, HTTPD3. Weitere Informationen finden Sie im Abschnitt "Generating jobnames for OMVS address spaces" in der z/OS-Veröffentlichung UNIX System Services Planning (IBM Form GA22-7800). Sie können dieses Dokument über die z/OS-Internetbibliothek aufrufen.
Wenn Sie die Variable _BPX_JOBNAME für die Konfiguration des Jobnamens verwenden, muss die Benutzer-ID, die Sie zum Ausführen des Servers verwenden, Lesezugriff auf das SAF-FACILITY-Profil BPX.JOBNAME besitzen. Beispiel:
Weitere Informationen finden Sie im Abschnitt "Setting up the BPX.* FACILITY class profiles" in der z/OS-Veröffentlichung UNIX System Services Planning (IBM Form GA22-7800). Sie können dieses Dokument über die z/OS-Internetbibliothek aufrufen.RDEFINE FACILITY BPX.JOBNAME UACC(NONE) SETROPTS RACLIST(FACILITY) REFRESHPERMIT BPX.JOBNAME CLASS(FACILITY) ACCESS(READ) ID(WWWSERV) SETROPTS RACLIST(FACILITY) REFRESHRLIST FACILITY BPX.JOBNAME ALL


http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=ihs-dist&topic=tihs_sysconfigz
Dateiname:tihs_sysconfigz.html