Paramétrage des configurations système z/OS requises
Avant de démarrer IBM® HTTP Server, vous devez définir quelques configurations système z/OS requises.
Pourquoi et quand exécuter cette tâche
- Définissez le paramètre memlimit.
- Configurez un mécanisme permettant d'accéder aux ports inférieurs.
- Configurations de sécurité SAF (System authorization facility) requises.
- Créez un ID utilisateur et un groupe pour IBM HTTP Server.
- Définissez le contrôle de programme pour les fichiers MVS requis.
- Définissez le contrôle de programme pour les fichiers HFS.
- Définissez le contrôle de programme pour le SSL système z/OS.
- Accédez aux fichiers de clés SAF.
- Droits d'accès des ID utilisateur vers CSFSERV pour le chiffrement matériel.
- Utilisation de matériel cryptographique pour le stockage de clés (facultatif).
- Définition d'une variable d'environnement * _BPX_JOBNAME (facultatif).
Procédure
- Définissez le paramètre MEMLIMIT. Le paramètre MEMLIMIT contrôle la quantité de mémoire virtuelle dépassant deux gigaoctets pour un espace adresse particulier. Le réglage par défaut de MEMLIMIT est 0. Toutefois, tous les programmes binaires fournis avec IBM HTTP Server sont des applications 64 bits et ces applications ne pourront pas fonctionner avec le réglage par défaut de MEMLIMIT.Le paramètre MEMLIMIT peut être défini comme suit :
- Dans le segment OMVS de l'ID utilisateur choisi pour exécuter le serveur :
ALTUSER WWWSERV OMVS(MEMLIMIT(512M))
- Dans le membre parmlib SMFPRMxx. Le fait de définir le membre parmlib SMFPRMxx permet d'établir le paramètre MEMLIMIT par défaut au niveau du système.
Pour obtenir une description complète de la façon dont MEMLIMIT doit être défini, consultez la section "Limiting the use of memory objects" du documentz/OS MVS Programming Extended Addressability Guide (SA22-7614). Ce document est accessible depuis le lien Bibliothèque Internet z/OS.
IBM HTTP Server requiert environ 5,4 mégaoctets de mémoire 64 bits par unité d'exécution. Le paramètre MEMLIMIT minimum recommandé pour un fonctionnement approprié d'IBM HTTP Server est : 6 * (unités d'exécution par enfant + 3) mégaoctets.
- Dans le segment OMVS de l'ID utilisateur choisi pour exécuter le serveur :
- Configurez un mécanisme permettant d'accéder aux ports inférieurs. L'ID utilisateur du serveur Web doit avoir accès aux ports TCP sur lesquels il va gérer les connexions client. Si vous utilisez des valeurs de port inférieures à 1024, par exemple les ports de serveur Web 80 et 443, une configuration spéciale est nécessaire pour que le serveur Web puisse se connecter au port. Vous pouvez utiliser l'un des deux mécanismes suivants pour autoriser l'accès aux ports inférieurs :
- Définir la directive PORT dans la configuration TCP/IP.
- Désactiver RESTRICTLOWPORTS dans la configuration TCP/IP.
- Coder le nom de travail du serveur Web sur une instruction PORT dans la configuration TCP/IP.
- Coder un caractère générique du nom de travail sur une instruction PORT dans la configuration TCP/IP.
- Coder une valeur SAF et safname sur l'instruction PORT dans la configuration TCP/IP, et autoriser un accès en lecture de l'ID utilisateur du serveur Web au profil de classe SAF FACILITY EZB.PORTACCESS.sysname.stackname.safname.
Pour plus d'informations sur les méthodes de configuration pour permettre l'accès aux ports inférieurs, consultez les sections "Port access control" et "Setting up reserved port number definitions in PROFILE.TCPIP" du document z/OS Communications Server IP Configuration Guide (SC31-8775). Ce document est accessible depuis le lien Bibliothèque Internet z/OS.
Pour obtenir une explication sur la façon dont les noms de travaux des services système UNIX (comme ceux des instances d'IBM HTTP Server) sont déterminés, consultez la section "Generating jobnames for OMVS address spaces" du document z/OS UNIX System Services Planning (GA22-7800). Ce document est accessible depuis le lien Bibliothèque Internet z/OS.
- Configurations SAF (System Authorization Facility) requises.
- Créez un ID utilisateur et un groupe pour IBM HTTP Server.Vous pouvez utiliser un ID utilisateur existant ou nouveau. Il doit comporter un segment OMVS et l'ID utilisateur ne peut pas être zéro. L'exemple suivant contient des commandes RACF permettant de créer un nouvel utilisateur et un nouveau groupe.
Exemple de mot de passe ADDGROUP WWWGROUP OMVS(GID(999)) ADDUSER WWWSERV DFLTGRP(WWWGROUP) OMVS(UID(999)) PASSWORD(mot de passe)
L'administrateur de la sécurité doit définir le mot de passe de l'ID utilisateur du serveur Web (plutôt que d'autoriser celui par défaut), afin d'empêcher tout utilisateur non autorisé de se connecter avec cet ID utilisateur. La commande ALTUSER peut être utilisée pour modifier le mot de passe d'un ID utilisateur existant.Exemple d'expression du mot de passe ADDGROUP WWWGROUP OMVS(GID(999)) ADDUSER WWWSERV DFLTGRP(WWWGROUP) OMVS(UID(999)) PHRASE('my0users@99#701_workgroup')
Remarque : Si vous utilisez une procédure cataloguée JLC pour démarrer une instance d'IBM HTTP Server, créez un profil SAF STARTED pour attribuer l'ID utilisateur du serveur et l'ID groupe à la tâche démarrée du serveur. Par exemple, pour utiliser une procédure cataloguée nommée WEBSRV1 :RDEFINE STARTED WEBSRV1.* STDATA(USER(WWWSERV) GROUP(WWWGROUP) TRACE(YES))
- Définissez le contrôle de programme pour les fichiers MVS requis. Assurez-vous que le contrôle de programme est activé pour les fichiers MVS suivants. Pour hlq, entrez le qualificateur de haut niveau pour votre installation système, par exemple : SYS1.LINKLIB.
- hlq.LINKLIB
- hlq.SCEERUN
- hlq.SCEERUN2
- hlq.SCLBDLL
L'exemple suivant indique comment activer le contrôle de programme à l'aide des commandes RACF. Si vous utilisez un autre produit de sécurité, reportez-vous à la documentation de ce produit pour y trouver des instructions. Si vous activez le contrôle de programme pour la première fois, vous devez utiliser les instructions RDEFINE au lieu des instructions RALTER :
Dans cet exemple, une astérisque (*) caractérise tous les programmes du fichier.RALTER PROGRAM * ADDMEM('hlq.LINKLIB'//NOPADCHK) UACC(READ) RALTER PROGRAM * ADDMEM('hlq.SCEERUN'//NOPADCHK) UACC(READ) RALTER PROGRAM * ADDMEM('hlq.SCLBDLL') UACC(READ) SETROPTS WHEN(PROGRAM) REFRESH
- Définissez le contrôle de programme pour les fichiers HFS.La logique d'installation SMP/E active le bit du contrôle de programme pour les bibliothèques et fichiers exécutables qui le nécessitent. Si vous installez des modules de plug-in, utilisez la commande extattr pour activer les indicateurs APF et du contrôle de programme. Exemple :
Dans cet exemple, remplacez l'emplacement d'installation d'IBM HTTP Server par /opt/IBM/HTTPServer/. (Vous pouvez générer des modules de plug-in personnalisés à l'aide du script apxs qui vous est fourni.)# extattr +ap /opt/IBM/HTTPServer/modules/mod_jauth.so
- Définissez le contrôle de programme pour z/OS System SSL.Si vous définissez votre IBM HTTP Server en vue de communications sécurisées sur Internet, IBM HTTP Server utilise SSL (Secure Sockets Layer) système z/OS pour établir des connexions sécurisées. Avant qu'IBM HTTP Server puisse utiliser le SSL système, vous devez :
- Ajouter la bibliothèque de chargement SSSL (System SSL) (hlq.SIEALNKE) à la liste des liens système ou à la concaténation STEPLIB DD dans la procédure cataloguée HTTP Server ;
- Définir le contrôle de programmes hlq.SIEALNKE dans la fonction RACF.
Pour activer le contrôle de programme à l'aide de la fonction RACF, exécutez la commande suivante :
Si vous activez le contrôle de programme pour la première fois, utilisez les instructions RDEFINE au lieu des instructions RALTER. Si vous utilisez un autre produit de sécurité, reportez-vous à la documentation de ce produit pour y trouver des instructions.RALTER PROGRAM * ADDMEM('hlq.SIEALNKE'//NOPADCHK) UACC(READ) SETROPTS WHEN(PROGRAM) REFRESH
- Accédez aux fichiers de clés SAF.La prise en charge de l'authentification SSL et LDAP peut, si vous le souhaitez, utiliser des certificats stockés dans des fichiers de clés SAF. Pour ce faire, l'ID utilisateur du serveur Web doit avoir certains droits d'accès. Concrètement, l'ID utilisateur du serveur Web doit bénéficier d'un droit d'accès à la fonction IRR.DIGTCERT.LISTRING pour pouvoir utiliser les fichiers de clés. Voici les principales étapes nécessaires :
- Définissez les ressources IRR.DIGTCERT.LIST et IRR.DIGTCERT.LISTRING avec la valeur None pour l'accès universel.
- Accordez à l'ID utilisateur du serveur Web l'accès en lecture aux ressources IRR.DIGTCERT.LIST et IRR.DIGTCERT.LISTRING dans la classe FACILITY.
- Activez la classe de ressource générale FACILITY.
- Régénérez la classe de ressource générale FACILITY.
Les commandes suivantes sont des commandes RACF. Remplacez WWWSERV par le véritable ID utilisateur avec lequel IBM HTTP Server est démarré.
Pour obtenir un guide complet des commandes RACF, voir z/OS Security Server RACF Security Administrator's Guide (SA22-7683). Ce document est accessible depuis le lien Bibliothèque Internet z/OS.RDEFINE FACILITY IRR.DIGTCERT.LIST UACC(NONE) PE IRR.DIGTCERT.LIST CLASS(FACILITY) ID(WWWSERV) ACCESS(READ) RDEFINE FACILITY IRR.DIGTCERT.LISTRING UACC(NONE) PE IRR.DIGTCERT.LISTRING CLASS(FACILITY) ID(WWWSERV) ACCESS(READ) SETR CLASSACT(FACILITY) SETR RACLIST(FACILITY) REFRESH
- Droits d'accès des ID utilisateur à CSFSERV pour le chiffrement matériel :
Le mécanisme d'authentification ICSF (Integrated Cryptographic Services Facility) est l'interface logicielle du matériel de cryptographie. Si vous prévoyez d'exécuter IBM HTTP Server avec une fonction de matériel de cryptographie, vous pouvez restreindre l'utilisation des services ICSF. Pour restreindre l'utilisation des services ICSF, vous pouvez donner aux ID utilisateurs des droits d'accès à certains profils dans la classe de ressources générale CSFSERV. CSFSERV contrôle l'utilisation du logiciel ICSF. Si vous avez défini votre système IBM HTTP Server pour qu'il s'exécute avec un ID utilisateur autre que zéro, vous pouvez donner à l'ID utilisateur autre que zéro l'accès en lecture à CSFSERV. Si vous utilisez un produit de sécurité autre que RACF, reportez-vous à la documentation de ce produit pour y trouver des instructions.
Pour restreindre l'utilisation des services ICSF, exécutez les commandes RACF de la même façons que les commandes des exemples suivants. Si vous avez des applications autres qu'IBM HTTP Server qui utilisent ICSF, vous devez personnaliser les exemples. Sinon, les autres applications n'accéderont plus aux services ICSF.
Important : La prise en charge TLS (Modern Transport Layer Security) nécessite que la classe de ressource générale CSFSERV soit configurée et accessible par l'ID utilisateur IBM HTTP Server. Cette configuration est nécessaire car le serveur crée des numéros aléatoires qui génèrent des appels CSFRNG lors d'un fonctionnement normal.L'exemple suivant indique comment donner aux ID WWWSERV et PUBLIC l'accès aux profils dans CSFSERV.SETROPTS RACLIST(CSFSERV) GENERIC(CSFSERV) RDEFINE CSFSERV CSF* UACC(NONE) PERMIT CSF%%C CLASS(CSFSERV) ID(WWWSERV PUBLIC) ACCESS(READ) PERMIT CSFPK% CLASS(CSFSERV) ID(WWWSERV PUBLIC) ACCESS(READ) PERMIT CSFCK% CLASS(CSFSERV) ID(WWWSERV PUBLIC) ACCESS(READ) SETROPTS CLASSACT(CSFSERV) SETROPTS RACLIST(CSFSERV) GENERIC(CSFSERV) REFRESH
L'exemple suivant indique comment donner aux ID utilisateur et à l'ID WWWSERV l'accès aux profils dans CSFSERV.SETROPTS RACLIST(CSFSERV) GENERIC(CSFSERV) RDEFINE CSFSERV CSF%%C UACC(READ) RDEFINE CSFSERV CSFPK% UACC(READ) RDEFINE CSFSERV CSFCK% UACC(READ) SETROPTS CLASSACT(CSFSERV) SETROPTS RACLIST(CSFSERV) GENERIC(CSFSERV) REFRESH
- Utilisation de matériel de chiffrement pour le stockage de clés (facultatif) :
Pour mettre en oeuvre le stockage de clés sur des unités de chiffrement, consultez la section "Integrated Cryptographic Service Facility (ICSF) Considerations" du document z/OS Security Server RACF Security Administrator's Guide (SA22-7683).
Pour plus d'informations sur les options ICSF, consultez la section "Using Hardware Cryptographic Features with System SSL" du document z/OS Cryptographic Services System Secure Sockets Layer (SSL) Programming (SC24-5901).
Ces deux documents sont accessibles depuis le lien Bibliothèque Internet z/OS.
- Créez un ID utilisateur et un groupe pour IBM HTTP Server.
- Définition d'une variable d'environnement * _BPX_JOBNAME (facultatif) : IBM HTTP Server fournit le fichier <installroot>/bin/envvars pour définir les variables d'environnement pour les processus httpd. Vous pouvez définir la variable d'environnement * _BPX_JOBNAME pour donner au serveur un nom de travail distinct. Cela vous permet d'effectuer les actions suivantes :
- Distinguer le serveur dans les commandes d'opérateur MVS et dans SDSF (System Display and Search Facility).
- Catégoriser le serveur dans la gestion de la charge de travail (WLM) pour donner la priorité adéquate au trafic Web.
- Utiliser l'isolement syslogd pour le serveur.
- Utiliser les instructions PORT dans la configuration TCP/IP sélectionnée par le nom de travail.
Un paramètre typique est : export _BPX_JOBNAME=HTTPD. Par défaut, un entier incrémental est ajouté au nom de travail, par exemple HTTPD1, HTTPD2, HTTPD3. Pour plus d'informations, consultez la section "Generating jobnames for OMVS address spaces" du document z/OS UNIX System Services Planning (GA22-7800). Ce document est accessible depuis le lien Bibliothèque Internet z/OS.
Si vous utilisez la variable _BPX_JOBNAME pour définir le nom de travail, l'ID utilisateur que vous avez utilisé pour exécuter le serveur doit avoir un accès en lecture au profil SAF FACILITY BPX.JOBNAME. Exemple :
Pour plus d'informations, consultez la section "Setting up the BPX.* FACILITY class profiles" du documentz/OS UNIX System Services Planning (GA22-7800). Ce document est accessible depuis le lien Bibliothèque Internet z/OS.RDEFINE FACILITY BPX.JOBNAME UACC(NONE) SETROPTS RACLIST(FACILITY) REFRESH PERMIT BPX.JOBNAME CLASS(FACILITY) ACCESS(READ) ID(WWWSERV) SETROPTS RACLIST(FACILITY) REFRESH RLIST FACILITY BPX.JOBNAME ALL


http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=ihs-dist&topic=tihs_sysconfigz
Nom du fichier : tihs_sysconfigz.html