執行必要的 z/OS 系統配置
在啟動 IBM® HTTP Server 之前,您必須先設定 z/OS® 系統配置。
關於這項作業
程序
- 設定 MEMLIMIT 參數。 MEMLIMIT 參數可以為特定位址空間控制大於 2 GB 的虛擬記憶體數量。MEMLIMIT 的預設值為 0。不過,隨附於 IBM HTTP Server 的所有二進位程式都是 64 位元應用程式,而這些應用程式無法與 MEMLIMIT 的預設值搭配運作。您可以設定 MEMLIMIT 參數:
- 在用來執行伺服器之使用者 ID 的 OMVS 區段中:
ALTUSER WWWSERV OMVS(MEMLIMIT(512M))
- 在 parmlib 成員 SMFPRMxx 中。設定 parmlib 成員 SMFPRMxx 將會建立全系統的 MEMLIMIT 預設值。
若需如何設定 MEMLIMIT 的完整說明,請參閱《z/OS MVS 程式設計延伸定址能力手冊》(SA22-7614) 中的「限制記憶體物件的使用」一節。您可以從 z/OS 網際網路文件庫鏈結至此文件。
IBM HTTP Server 的每個執行緒大約需要 5.4 MB 的 64 位元虛擬記憶體。IBM HTTP Server 正常作業所需的 MEMLIMIT 建議設定下限為:6 * (ThreadsPerChild + 3) MB。
- 在用來執行伺服器之使用者 ID 的 OMVS 區段中:
- 配置可容許存取低值埠的機制。 Web 伺服器使用者 ID 必須能夠存取要用來處理用戶端連線的 TCP 埠。如果使用的埠值小於 1024,例如 Web 伺服器埠 80 和 443,則需要特殊配置,才能讓 Web 伺服器連結至該埠。您可以使用下列其中一個機制來容許存取低值埠:
- 在 TCP/IP 配置中設定 PORT 指引。
- 在 TCP/IP 配置中停用 RESTRICTLOWPORTS。
- 在 TCP/IP 配置中的 PORT 陳述式上,編寫 Web 伺服器工作名稱的程式碼。
- 在 TCP/IP 配置中的 PORT 陳述式上,編寫工作名稱的萬用字元程式碼。
- 在 TCP/IP 配置中的 PORT 陳述式上,編寫 SAF 和 safname 值的程式碼,並允許 Web 伺服器使用者 ID 讀取 SAF FACILITY 類別設定檔 EZB.PORTACCESS.sysname.stackname.safname。
如需容許存取低值埠之配置方法的相關資訊,請參閱《z/OS Communications Server IP 配置手冊》(SC31-8775) 中的「連接埠存取控制」和「在 PROFILE.TCPIP 中設定保留埠號定義」一節。您可以從 z/OS 網際網路文件庫鏈結至此文件。
如需有關如何判定「UNIX 系統服務」工作名稱(例如 IBM HTTP Server 實例的工作名稱)的說明,請參閱《z/OS UNIX 系統服務規劃》(GA22-7800) 中的「產生 OMVS 位址空間的工作名稱」一節。從 z/OS 網際網路文件庫鏈結至此文件。
- 必要的「系統授權機能 (SAF)」配置。
- 建立 IBM HTTP Server 的使用者 ID 和群組。您可以使用新的或現有的使用者 ID。它必須要有 OMVS 區段,而且 UID 不可以是零。下列範例包含 RACF® 指令,可用來建立新的使用者和群組。
Password example ADDGROUP WWWGROUP OMVS(GID(999)) ADDUSER WWWSERV DFLTGRP(WWWGROUP) OMVS(UID(999)) PASSWORD(password)
安全管理者應該要定義 Web 伺服器使用者 ID 的密碼,而不要讓它使用預設值,以防止未獲授權的使用者能夠以該使用者 ID 登入。ALTUSER 指令可用來修改現有使用者 ID 的密碼。Password phrase example ADDGROUP WWWGROUP OMVS(GID(999)) ADDUSER WWWSERV DFLTGRP(WWWGROUP) OMVS(UID(999)) PHRASE('my0users@99#701_workgroup')
註: 如果您使用 JCL 編目程序來啟動 IBM HTTP Server 實例,請建立 SAF STARTED 設定檔,以將伺服器使用者 ID 和群組 ID 指派給伺服器啟動的工作。例如,若要使用名為 WEBSRV1 的編目程序:RDEFINE STARTED WEBSRV1.* STDATA(USER(WWWSERV) GROUP(WWWGROUP) TRACE(YES))
- 針對必要的 MVS 資料集,設定程式控制。確定已經為下列 MVS 資料集開啟程式控制。針對 hlq,輸入適用於您的系統安裝的高階限定元,例如:SYS1.LINKLIB。
- hlq.LINKLIB
- hlq.SCEERUN
- hlq.SCEERUN2
- hlq.SCLBDLL
下列範例顯示如何使用 RACF 指令來開啟程式控制。如果您是使用其他安全產品,請參閱該產品的說明文件,以取得相關指示。如果您是第一次開啟程式控制,則應使用 RDEFINE 陳述式,而非 RALTER 陳述式:
在此範例中,星號 (*) 是用來指定資料集中的所有程式。RALTER PROGRAM * ADDMEM('hlq.LINKLIB'//NOPADCHK) UACC(READ) RALTER PROGRAM * ADDMEM('hlq.SCEERUN'//NOPADCHK) UACC(READ) RALTER PROGRAM * ADDMEM('hlq.SCLBDLL') UACC(READ) SETROPTS WHEN(PROGRAM) REFRESH
- 針對 HFS 檔案,設定程式控制。SMP/E 安裝邏輯可以為所提供的程式庫和執行檔啟用其所需的程式控制位元。如果您安裝自訂外掛程式模組,可以使用 extattr 指令來啟用 APF 和「程式控制」旗標。例如:
在此範例中,以 IBM HTTP Server 安裝位置來替換 /opt/IBM/HTTPServer/。 (您可以使用所提供的 apxs script 來建置自訂外掛程式模組。)# extattr +ap /opt/IBM/HTTPServer/modules/mod_jauth.so
- 針對 z/OS 系統 SSL,設定程式控制。如果您設定 IBM HTTP Server 來提供網際網路上的安全通訊,IBM HTTP Server 會使用 z/OS System Secure Sockets Layer (SSL) 來建立安全連線。您必須先執行下列動作,IBM HTTP Server 才能使用「系統 SSL」:
- 將「系統 SSL」載入程式庫 (hlq.SIEALNKE) 新增至系統鏈結清單,或新增至 HTTP 伺服器編目程序的 STEPLIB DD 連結
- 在 RACF 中設定程式控制 hlq.SIEALNKE。
若要使用 RACF 來開啟程式控制,請發出下列指令:
如果您是第一次開啟程式控制,請使用 RDEFINE 陳述式,而非 RALTER 陳述式。如果您是使用其他安全產品,請參閱該產品的說明文件,以取得相關指示。RALTER PROGRAM * ADDMEM('hlq.SIEALNKE'//NOPADCHK) UACC(READ) SETROPTS WHEN(PROGRAM) REFRESH
- 對 SAF 金鑰環的存取權。SSL 和 LDAP 鑑別支援可以選擇使用儲存在 SAF 金鑰環中的憑證。這需要 Web 伺服器使用者 ID 具有某些 SAF 權限。明確地說,就是必須允許 Web 伺服器使用者 ID 使用 IRR.DIGTCERT.LISTRING 機能,才能使用金鑰環。以下是所需的一般步驟:
- 定義 IRR.DIGTCERT.LIST 和 IRR.DIGTCERT.LISTRING 資源,而通用存取權為 None。
- 允許 Web 伺服器使用者 ID 讀取 FACILITY 類別中的 IRR.DIGTCERT.LIST 和 IRR.DIGTCERT.LISTRING 資源。
- 啟動 FACILITY 一般資源類別。
- 重新整理 FACILITY 一般資源類別。
下列指令是 RACF 指令。將 WWWSERV 取代為用來啟動 IBM HTTP Server 的實際使用者 ID。
如需 RACF 指令的完整說明,請參閱《z/OS Security Server RACF 安全管理者手冊》(SA22-7683)。 您可以從 z/OS 網際網路文件庫鏈結至此文件。RDEFINE FACILITY IRR.DIGTCERT.LIST UACC(NONE) PE IRR.DIGTCERT.LIST CLASS(FACILITY) ID(WWWSERV) ACCESS(READ) RDEFINE FACILITY IRR.DIGTCERT.LISTRING UACC(NONE) PE IRR.DIGTCERT.LISTRING CLASS(FACILITY) ID(WWWSERV) ACCESS(READ) SETR CLASSACT(FACILITY) SETR RACLIST(FACILITY) REFRESH
- 允許使用者 ID 存取 CSFSERV 以進行硬體加密:
「整合加密服務機能 (ICSF)」是對加密硬體的軟體介面。如果您計劃要使用加密硬體功能來執行 IBM HTTP Server,可以限制使用 ICSF 服務。如果要限制使用 ICSF 服務,您可以允許使用者 ID 存取 CSFSERV 一般資源類別中的某些設定檔。CSFSERV 可控制 ICSF 軟體的使用。如果您已定義 IBMHTTP Server 以非零使用者 ID 來執行,可以提供非零使用者 ID 對 CSFSERV 的讀取權。如果您是使用 RACF 以外的安全產品,請參閱該產品的說明文件,以取得相關指示。
如果您想要限制使用 ICSF 服務,請發出 RACF 指令,類似下列範例中的指令。如果除了 IBM HTTP Server 之外,有其他應用程式使用 ICSF,您就必須自訂範例。否則,其他應用程式將無法再存取 ICSF 服務。
重要: 現代傳輸層安全 (TLS) 支援要求配置 CSFSERV 一般資源類別,且要能夠使用 IBM HTTP Server 使用者 ID 來存取此類別。此配置是必要的,因為在正常作業期間,伺服器產生亂數時會產生 CSFRNG 呼叫。下列範例顯示如何允許 WWWSERV ID 和 PUBLIC ID 存取 CSFSERV 中的設定檔。SETROPTS RACLIST(CSFSERV) GENERIC(CSFSERV) RDEFINE CSFSERV CSF* UACC(NONE) PERMIT CSF%%C CLASS(CSFSERV) ID(WWWSERV PUBLIC) ACCESS(READ) PERMIT CSFPK% CLASS(CSFSERV) ID(WWWSERV PUBLIC) ACCESS(READ) PERMIT CSFCK% CLASS(CSFSERV) ID(WWWSERV PUBLIC) ACCESS(READ) SETROPTS CLASSACT(CSFSERV) SETROPTS RACLIST(CSFSERV) GENERIC(CSFSERV) REFRESH
下列範例顯示如何允許使用者 ID 和 WWWSERV ID 存取 CSFSERV 中的設定檔。SETROPTS RACLIST(CSFSERV) GENERIC(CSFSERV) RDEFINE CSFSERV CSF%%C UACC(READ) RDEFINE CSFSERV CSFPK% UACC(READ) RDEFINE CSFSERV CSFCK% UACC(READ) SETROPTS CLASSACT(CSFSERV) SETROPTS RACLIST(CSFSERV) GENERIC(CSFSERV) REFRESH
- 使用加密硬體來儲存金鑰(選用):
若要在加密裝置上執行金鑰儲存作業,請參閱《z/OS Security Server RACF 安全管理者手冊》(SA22-7683) 中的「整合加密服務機能 (ICSF) 考量」一節。
如需 ICSF 選項的相關資訊,請參閱《z/OS 加密服務系統 Secure Sockets Layer (SSL) 程式設計》(SC24-5901) 中的「使用硬體加密特性搭配系統 SSL」一節。
您可以從「z/OS 網際網路文件庫」鏈結至這兩份文件。
- 建立 IBM HTTP Server 的使用者 ID 和群組。
- 設定環境變數 * _BPX_JOBNAME(選用): IBM HTTP Server 有提供 <installroot>/bin/envvars 檔案,可用來設定 httpd 程序的環境變數。您可以設定環境變數 * _BPX_JOBNAME,以提供不同的工作名稱給伺服器。如此可讓您:
- 在 MVS 操作員指令和「系統顯示與搜尋機能 (SDSF)」中查看該伺服器。
- 在工作量管理 (WLM) 中將伺服器分類,以提供 Web 資料流量足夠的優先順序。
- 為伺服器使用 syslogd 隔離。
- 在依工作名稱選取的 TCP/IP 配置中使用 PORT 陳述式。
一般設定為:export _BPX_JOBNAME=HTTPD。預設值為在工作名稱後面附加增量的整數,例如 HTTPD1、HTTPD2、HTTPD3。如需相關資訊,請參閱《z/OS UNIX 系統服務規劃》(GA22-7800) 中的「產生 OMVS 位址空間的工作名稱」一節。從 z/OS 網際網路文件庫鏈結至此文件。
如果您使用 _BPX_JOBNAME 變數來設定工作名稱,則您用來執行伺服器的使用者 ID 必須要有 SAF FACILITY 設定檔 BPX.JOBNAME 的讀取權。例如:
如需相關資訊,請參閱《z/OS UNIX 系統服務規劃》(GA22-7800) 中的「設定 BPX.* FACILITY 類別設定檔」一節。從 z/OS 網際網路文件庫鏈結至此文件。RDEFINE FACILITY BPX.JOBNAME UACC(NONE) SETROPTS RACLIST(FACILITY) REFRESH PERMIT BPX.JOBNAME CLASS(FACILITY) ACCESS(READ) ID(WWWSERV) SETROPTS RACLIST(FACILITY) REFRESH RLIST FACILITY BPX.JOBNAME ALL


http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=ihs-dist&topic=tihs_sysconfigz
檔名:tihs_sysconfigz.html