Realización de las configuraciones del sistema z/OS necesarias
Antes de iniciar IBM® HTTP Server, existen unas configuraciones del sistema z/OS necesarias que debe llevar a cabo.
Acerca de esta tarea
- Establezca el parámetro memlimit.
- Configure un mecanismo para permitir el acceso a los puertos más bajos.
- Configuraciones necesarias de SAF (System Authorization Facility).
- Cree un ID de usuario y un grupo para IBM HTTP Server.
- Establezca el control del programa para los conjuntos de datos MVS necesarios.
- Establezca el control del programa para los archivos HFS.
- Establezca el control del programa para System SSL de z/OS.
- Acceda a los conjuntos de claves de SAF.
- Permita ID de usuario para CSFSERV para hardware de cifrado.
- Utilice hardware de cifrado para el almacenamiento de claves (opcional).
- Establezca la variable de entorno * _BPX_JOBNAME (opcional).
Procedimiento
- Establezca el parámetro MEMLIMIT. El parámetro MEMLIMIT controla la cantidad de memoria virtual superior a dos gigabytes de un espacio de direcciones determinado. El valor por omisión de MEMLIMIT es 0. Sin embargo, todos los
programas binarios proporcionados con IBM HTTP Server son aplicaciones de
64 bits, y estas aplicaciones no serán operativas con el valor por omisión
de MEMLIMIT.El parámetro MEMLIMIT puede establecerse:
- En el segmento OMVS del ID de usuario utilizado para ejecutar el servidor:
ALTUSER WWWSERV OMVS(MEMLIMIT(512M))
- En el miembro de parmlib SMFPRMxx. Al establecer el miembro de parmlib SMFPRMxx se establecerá el valor predeterminado MEMLIMIT en todo el sistema.
Para obtener una descripción completa sobre cómo establecer MEMLIMIT, consulte el apartado "Limitación del uso de los objetos de memoria" en la publicación de z/OS MVS Programming Extended Addressability Guide (SA22-7614). Puede enlazar con este documento desde la biblioteca de Internet de z/OS.
IBM HTTP Server requiere aproximadamente 5,4 megabytes de memoria virtual de 64 bits por hebra. El valor mínimo recomendado MEMLIMIT para un funcionamiento correcto de IBM HTTP Server es: 6 * (ThreadsPerChild + 3) megabytes.
- En el segmento OMVS del ID de usuario utilizado para ejecutar el servidor:
- Configure un mecanismo para permitir el acceso a los puertos más bajos. El ID de usuario del servidor web debe tener acceso a los puertos TCP en los que se manejarán las conexiones del cliente. Si se utilizan valores de puerto menores que 1024, como los puertos 80 y 443 de un
servidor web, es necesaria una configuración especial para
que el servidor web se vincule al puerto. Puede utilizar uno de los mecanismos siguientes para permitir el acceso a los puertos más bajos:
- Establezca la directiva PORT en la configuración TCP/IP.
- Inhabilite RESTRICTLOWPORTS en la configuración de TCP/IP.
- Codifique el nombre de trabajo del servidor web en una sentencia PORT de la configuración de TCP/IP.
- Codifique un comodín para el nombre de trabajo en una sentencia PORT de la configuración de TCP/IP.
- Codifique SAF y un valor de safname en la sentencia PORT de la configuración de TCP/IP, y permita el acceso de lectura del ID de usuario del servidor web al perfil de la clase SAF FACILITY EZB.PORTACCESS.sysname.stackname.safname.
Para obtener más información sobre los métodos de configuración para permitir el acceso a los puertos más bajos, consulte los apartados "Control de acceso a puerto" y "Configuración de definiciones de números de puerto reservados en PROFILE.TCPIP" en la publicación z/OS Communications Server IP Configuration Guide (SC31-8775). Puede enlazar con este documento desde la biblioteca de Internet de z/OS.
Si desea una explicación sobre cómo se determinan los nombres de trabajo de Unix System Services (como, por ejemplo, los de las instancias de IBM HTTP Server), consulte el apartado "Generación de nombres de trabajo para espacios de direcciones OMVS" en la publicación z/OS UNIX System Services Planning (GA22-7800). Enlace con este documento desde la Biblioteca de Internet de z/OS.
- Configuraciones necesarias de SAF (System Authorization Facility).
- Cree un ID de usuario y un grupo para IBM HTTP Server.Puede utilizar un ID de usuario nuevo o uno ya existente. Debe tener un segmento OMVS y el UID no puede ser cero. Los ejemplos siguientes contienen mandatos RACF para crear un nuevo usuario y grupo.
Ejemplo de contraseña ADDGROUP WWWGROUP OMVS(GID(999)) ADDUSER WWWSERV DFLTGRP(WWWGROUP) OMVS(UID(999)) PASSWORD(contraseña)
El administrador de seguridad debe definir la contraseña del ID de usuario del servidor web, en vez de permitirlo de forma predeterminada, para evitar que un usuario no autorizado pueda iniciar una sesión con ese ID de usuario. Puede utilizarse el mandato ALTUSER para modificar la contraseña de un ID de usuario existente.Ejemplo de frase de contraseña ADDGROUP WWWGROUP OMVS(GID(999)) ADDUSER WWWSERV DFLTGRP(WWWGROUP) OMVS(UID(999)) PHRASE('my0users@99#701_workgroup')
Nota: Si utiliza un procedimiento catalogado de JCL para iniciar una instancia de IBM HTTP Server, cree un perfil SAF STARTED para asignar el ID de usuario de servidor y un ID de grupo a la tarea iniciada del servidor. Por ejemplo, para utilizar un procedimiento catalogado que se denomina WEBSRV1:RDEFINE STARTED WEBSRV1.* STDATA(USER(WWWSERV) GROUP(WWWGROUP) TRACE(YES))
- Establezca el control de programa para los conjuntos de datos MVS necesarios. Asegúrese de que el control del programa está activado para los conjuntos de datos MVS siguientes. Para hlq, especifique el calificador de alto nivel para la instalación del sistema, por ejemplo: SYS1.LINKLIB.
- hlq.LINKLIB
- hlq.SCEERUN
- hlq.SCEERUN2
- hlq.SCLBDLL
En el siguiente ejemplo se muestra cómo activar el control del programa utilizando los mandatos RACF. Si utiliza otro producto de seguridad, consulte la documentación de dicho producto si desea obtener instrucciones. Cuando active el control del programa por primera vez, debe utilizar las sentencias RDEFINE, en lugar de las sentencias RALTER:
En este ejemplo, se utiliza un asterisco (*) para especificar todos los programas del conjunto de datos.RALTER PROGRAM * ADDMEM('hlq.LINKLIB'//NOPADCHK) UACC(READ) RALTER PROGRAM * ADDMEM('hlq.SCEERUN'//NOPADCHK) UACC(READ) RALTER PROGRAM * ADDMEM('hlq.SCLBDLL') UACC(READ) SETROPTS WHEN(PROGRAM) REFRESH
- Establezca el control del programa para los archivos HFS. La lógica de instalación de SMP/E habilita el bit de control del programa para las bibliotecas y los archivos ejecutables proporcionados que lo requieren. Si instala módulos de plug-in personalizados, utilice el mandato extattr para habilitar los distintivos APF y Program Control. Por ejemplo:
En este ejemplo, sustituya la ubicación de instalación de IBM HTTP Server por /opt/IBM/HTTPServer/. (Puede crear módulos de plug-in personalizados utilizando el script apxs proporcionado.)# extattr +ap /opt/IBM/HTTPServer/modules/mod_jauth.so
- Establezca el control de programa para System SSL de z/OS.Si configura IBM HTTP Server para proporcionar comunicaciones seguras en Internet, IBM HTTP Server utiliza System SSL (Secure Sockets Layer) de z/OS para establecer las conexiones seguras. Antes de que IBM HTTP Server pueda utilizar System SSL, debe:
- Añada la biblioteca de carga de System SSL (hlq.SIEALNKE) a la lista de enlaces del sistema o a la concatenación STEPLIB DD en el procedimiento catalogado de HTTP Server
- Establezca el control del programa hlq.SIEALNKE en RACF.
Para activar el control del programa utilizando RACF, emita el siguiente mandato:
Cuando active el control del programa por primera vez, utilice la sentencia RDEFINE en lugar de las sentencias RALTER. Si utiliza otro producto de seguridad, consulte la documentación de dicho producto si desea obtener instrucciones.RALTER PROGRAM * ADDMEM('hlq.SIEALNKE'//NOPADCHK) UACC(READ) SETROPTS WHEN(PROGRAM) REFRESH
- Acceda a los conjuntos de claves de SAF.El soporte de autenticación de SSL y LDAP puede utilizar de forma opcional certificados almacenados en conjuntos de claves de SAF. Esto requiere que el ID de usuario del servidor web tenga unos determinados permisos de SAF. Específicamente, el ID de usuario del servidor web debe estar autorizado para el recurso IRR.DIGTCERT.LISTRING con objeto de utilizar conjuntos de claves. A continuación, aparecen los pasos generales necesarios:
- Defina los recursos IRR.DIGTCERT.LIST e IRR.DIGTCERT.LISTRING con el acceso universal None (Ninguno).
- Otorgue al ID de usuario del servidor web acceso de lectura a los recursos IRR.DIGTCERT.LIST e IRR.DIGTCERT.LISTRING en la clase FACILITY.
- Active la clase de recurso general FACILITY.
- Renueve la clase de recurso general FACILITY.
Los siguientes mandatos son mandatos RACF. Sustituya WWWSERV por el ID de usuario real bajo el cual se inició IBM HTTP Server.
Para ver una guía completa de los mandatos RACF, consulte la publicación z/OS Security Server RACF Security Administrator's Guide (SA22-7683). Puede enlazar con este documento desde la biblioteca de Internet de z/OS.RDEFINE FACILITY IRR.DIGTCERT.LIST UACC(NONE) PE IRR.DIGTCERT.LIST CLASS(FACILITY) ID(WWWSERV) ACCESS(READ) RDEFINE FACILITY IRR.DIGTCERT.LISTRING UACC(NONE) PE IRR.DIGTCERT.LISTRING CLASS(FACILITY) ID(WWWSERV) ACCESS(READ) SETR CLASSACT(FACILITY) SETR RACLIST(FACILITY) REFRESH
- Permiso a los ID de usuario a CSFSERV para el
cifrado de hardware:
El recurso ICSF (Integrated Cryptographic Services Facility) es la interfaz de software con el hardware de cifrado. Si tiene previsto ejecutar IBM HTTP Server con la capacidad de hardware de cifrado, puede restringir el uso de los servicios ICSF. Para restringir el uso de los servicios ICSF, puede dar permiso a los ID de usuario a determinados perfiles en la clase de recurso general CSFSERV. CSFSERV controla el uso del software ICSF. Si ha definido IBM HTTP Server para ejecutarse con un ID de usuario que no es cero, puede otorgar al ID de usuario que no es cero acceso READ (lectura) a CSFSERV. Si utiliza un producto de seguridad distinto a RACF, consulte la documentación de dicho producto si desea obtener instrucciones.
Si desea restringir el uso de los servicios ICSF, emita mandatos RACF similares a los mandatos que aparecen en los ejemplos siguientes. Si tiene aplicaciones que no son de IBM HTTP Server que utilizan ICSF, debe personalizar los ejemplos. De lo contrario, las otras aplicaciones ya no tendrán acceso a los servicios ICSF.
Importante: El soporte moderno de TLS (Transport Layer Security) requiere que la clase de recurso general CSFSERV se configure y sea accesible por el ID de usuario de IBM HTTP Server. Esta configuración es necesaria porque la generación de números aleatorios por el servidor genera llamadas CSFRNG durante el funcionamiento normal.En el siguiente ejemplo se muestra cómo otorgar al ID de WWWSERV y al ID de PUBLIC acceso a los perfiles de CSFSERV.SETROPTS RACLIST(CSFSERV) GENERIC(CSFSERV) RDEFINE CSFSERV CSF* UACC(NONE) PERMIT CSF%%C CLASS(CSFSERV) ID(WWWSERV PUBLIC) ACCESS(READ) PERMIT CSFPK% CLASS(CSFSERV) ID(WWWSERV PUBLIC) ACCESS(READ) PERMIT CSFCK% CLASS(CSFSERV) ID(WWWSERV PUBLIC) ACCESS(READ) SETROPTS CLASSACT(CSFSERV) SETROPTS RACLIST(CSFSERV) GENERIC(CSFSERV) REFRESH
En el siguiente ejemplo se muestra cómo proporcionar a los ID de usuario y al ID de WWWSERV acceso a los perfiles en CSFSERV.SETROPTS RACLIST(CSFSERV) GENERIC(CSFSERV) RDEFINE CSFSERV CSF%%C UACC(READ) RDEFINE CSFSERV CSFPK% UACC(READ) RDEFINE CSFSERV CSFCK% UACC(READ) SETROPTS CLASSACT(CSFSERV) SETROPTS RACLIST(CSFSERV) GENERIC(CSFSERV) REFRESH
- Utilización de hardware de cifrado para el almacenamiento de claves (opcional):
Para realizar el almacenamiento de claves en dispositivos criptográficos, consulte el apartado "Consideraciones sobre el Recurso de servicio criptográfico integrado (ICSF)" en la publicación z/OS Security Server RACF Security Administrator's Guide (SA22-7683).
Para obtener información sobre las opciones de ICSF, consulte el apartado "Utilización de características criptográficas de hardware con System SSL" en la publicación z/OS Cryptographic Services System Secure Sockets Layer (SSL) Programming (SC24-5901).
Puede enlazar con ambos documentos desde la biblioteca de Internet de z/OS.
- Cree un ID de usuario y un grupo para IBM HTTP Server.
- Establecimiento de la variable de entorno * _BPX_JOBNAME (opcional): IBM HTTP Server proporciona el archivo <raíz_instalación>/bin/envvars para establecer variables de entorno para los procesos httpd. Puede configurar la variable de entorno * _BPX_JOBNAME para dar un nombre de trabajo diferenciado al servidor. Esto le permite:
- Ver el servidor en los mandatos de operador MVS y SDSF (System Display and Search Facility).
- Establecer la categoría del servidor en la gestión de carga de trabajo (WLM) para dar la prioridad adecuada al tráfico de web.
- Utilice el aislamiento syslogd para el servidor.
- Utilice sentencias PORT en la configuración de TCP/IP que realicen la selección por nombre de trabajo.
Un valor típico es: export _BPX_JOBNAME=HTTPD. El valor predeterminado es agregar un entero incremental al nombre de trabajo como, por ejemplo, HTTPD1, HTTPD2, HTTPD3. Para obtener más información, consulte el apartado "Generación de nombres de trabajo para espacios de direcciones OMVS" en la publicación z/OS UNIX System Services Planning (GA22-7800). Enlace con este documento desde la Biblioteca de Internet de z/OS.
Si utiliza la variable _BPX_JOBNAME para establecer el nombre de trabajo, el ID de usuario que se utiliza para ejecutar el servidor debe tener acceso de lectura al perfil de SAF FACILITY BPX.JOBNAME. Por ejemplo:
Para obtener más información, consulte el apartado "Configuración de los perfiles de clase BPX.* FACILITY" en la publicación z/OS UNIX System Services Planning (GA22-7800). Enlace con este documento desde la Biblioteca de internet de z/OS.RDEFINE FACILITY BPX.JOBNAME UACC(NONE) SETROPTS RACLIST(FACILITY) REFRESH PERMIT BPX.JOBNAME CLASS(FACILITY) ACCESS(READ) ID(WWWSERV) SETROPTS RACLIST(FACILITY) REFRESH RLIST FACILITY BPX.JOBNAME ALL


http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=ihs-dist&topic=tihs_sysconfigz
File name: tihs_sysconfigz.html