필수 z/OS 시스템 구성 수행
IBM® HTTP Server를 시작하기 전에 설정해야 하는 필수 z/OS® 시스템 구성이 있습니다.
이 태스크 정보
프로시저
- MEMLIMIT 매개변수를 설정하십시오. MEMLIMIT 매개변수는
특정 주소 공간에 대해 2GB 이상의 가상 메모리 양을
제어합니다. MEMLIMIT 기본 설정은 0입니다. 그러나 IBM HTTP
Server와 함께 제공되는 모든 2진 프로그램은 64비트 애플리케이션이며 이러한 애플리케이션은
MEMLIMIT 기본 설정에서는 작동하지 않습니다. 다음에서 MEMLIMIT 매개변수를 설정할 수 있습니다.
- 서버를 실행하는 데 사용된 사용자 ID의 OMVS 세그먼트에서.
ALTUSER WWWSERV OMVS(MEMLIMIT(512M))
- parmlib 멤버 SMFPRMxx에서. parmlib 멤버 SMFPRMxx를 설정하면 시스템 전체 MEMLIMIT 기본값이 설정됩니다.
MEMLIMIT 설정 방법에 대한 자세한 설명은 z/OS MVS Programming Extended Addressability Guide(SA22-7614)의 "Limiting the use of memory objects" 절을 참조하십시오. z/OS 인터넷 라이브러리에서 이 문서에 링크할 수 있습니다.
IBM HTTP Server에는 스레드당 약 5.4MB의 64비트 가상 메모리가 필요합니다. 적절한 IBM HTTP Server 조작에 대한 최소 권장 MEMLIMIT 설정은 6 * (ThreadsPerChild + 3)MB입니다.
- 서버를 실행하는 데 사용된 사용자 ID의 OMVS 세그먼트에서.
- 낮은 포트에 대한 액세스를 허용하도록 메커니즘을
구성하십시오. 웹 서버 사용자 ID는 클라이언트 연결을 처리할 TCP 포트에 액세스할 수 있어야 합니다. 1024 미만의 포트 값을 사용하는 경우(예: 웹 서버 포트 80
및 443), 웹 서버가 포트에 바인드할 수 있도록 특수 구성이 필요합니다. 다음 메커니즘 중 하나를 사용하여 낮은 포트에 대한 액세스를 허용할 수 있습니다.
- TCP/IP 구성에서 PORT 지시문을 설정하십시오.
- TCP/IP 구성에서 RESTRICTLOWPORTS를 사용할 수 없게 하십시오.
- TCP/IP 구성에서 PORT 문에 웹 서버 작업 이름을 코딩하십시오.
- TCP/IP 구성에서 PORT 문에 작업 이름에 대해 와일드 카드를 코딩하십시오.
- TCP/IP 구성에서 PORT 문에 SAF 및 safname 값을 코딩하고, 웹 서버 사용자 ID에 SAF FACILITY 클래스 프로파일 EZB.PORTACCESS.sysname.stackname.safname에 대한 읽기 액세스 권한을 허용하십시오.
낮은 포트에 액세스를 허용하기 위한 구성 방법에 대한 자세한 정보는 z/OS Communications Server IP Configuration Guide(SC31-8775)의 "Port access control" 및 "Setting up reserved port number definitions in PROFILE.TCPIP" 절을 참조하십시오. z/OS 인터넷 라이브러리에서 이 문서에 링크할 수 있습니다.
USS(Unix System Services) 작업 이름(예: IBM HTTP Server 인스턴스의 작업 이름) 판별 방법에 대한 설명은 z/OS UNIX System Services Planning(GA22-7800)의 "Generating jobnames for OMVS address spaces" 절을 참조하십시오. z/OS 인터넷 라이브러리에서 이 문서에 링크하십시오.
- 필수 SAF(System Authorization Facility) 구성을
수행하십시오.
- IBM HTTP Server의 사용자 ID 및 그룹을 작성하십시오.
새 사용자 ID 또는 기존 사용자 ID를 사용할 수 있습니다. OMVS 세그먼트가 있어야 하며 UID는 0이 될 수 없습니다. 다음 예제에는 새 사용자 및 그룹 작성을 위한 RACF® 명령이 포함되어 있습니다.
Password example ADDGROUP WWWGROUP OMVS(GID(999)) ADDUSER WWWSERV DFLTGRP(WWWGROUP) OMVS(UID(999)) PASSWORD(password)
권한이 없는 사용자가 웹 서버 사용자 ID를 사용하여 로그인하지 못하도록 보안 관리자는 해당 사용자 ID의 비밀번호를 기본값으로 허용하는 대신 비밀번호를 정의해야 합니다. ALTUSER 명령을 사용하여 기존 사용자 ID의 비밀번호를 수정할 수 있습니다.Password phrase example ADDGROUP WWWGROUP OMVS(GID(999)) ADDUSER WWWSERV DFLTGRP(WWWGROUP) OMVS(UID(999)) PHRASE('my0users@99#701_workgroup')
참고: JCL 카탈로그 프로시저를 사용하여 IBM HTTP Server 인스턴스를 시작하는 경우, SAF STARTED 프로파일을 작성하여 서버 시작 태스크에 서버 사용자 ID 및 그룹 ID를 지정하십시오. 예를 들어, WEBSRV1이라는 카탈로그 프로시저를 사용하려면 다음을 입력하십시오.RDEFINE STARTED WEBSRV1.* STDATA(USER(WWWSERV) GROUP(WWWGROUP) TRACE(YES))
- MVS 데이터 세트에 대해 프로그램 제어를 설정하십시오다음 MVS 데이터 세트에 대해 프로그램 제어가 설정되어 있는지 확인하십시오. hlq의 경우, 시스템 설치의 상위 레벨 규정자를 입력하십시오(예: SYS1.LINKLIB).
- hlq.LINKLIB
- hlq.SCEERUN
- hlq.SCEERUN2
- hlq.SCLBDLL
다음 예제에서는 RACF 명령을 사용하여 프로그램 제어를 설정하는 방법을 보여줍니다. 다른 보안 제품을 사용하는 경우, 지시사항은 해당 제품 문서를 참조하십시오. 프로그램 제어를 처음 설정하는 경우, RALTER 문 대신 RDEFINE 문을 사용해야 합니다.
이 예제에서 별표(*)는 데이터 세트의 모든 프로그램을 지정하는 데 사용됩니다.RALTER PROGRAM * ADDMEM('hlq.LINKLIB'//NOPADCHK) UACC(READ) RALTER PROGRAM * ADDMEM('hlq.SCEERUN'//NOPADCHK) UACC(READ) RALTER PROGRAM * ADDMEM('hlq.SCLBDLL') UACC(READ) SETROPTS WHEN(PROGRAM) REFRESH
- HFS 파일에 대해 프로그램 제어를 설정하십시오. SMP/E 설치 논리를 통해 제공된 라이브러리 및 이를 필요로 하는 실행 파일에 대해 프로그램 제어 비트를 사용할 수 있습니다. 사용자 정의 플러그인 모듈을 설치하는 경우, extattr 명령을 사용하여 APF 및 프로그램 제어 플래그를 사용할 수 있게 하십시오. 예를 들면, 다음과 같습니다.
이 예제에서 /opt/IBM/HTTPServer/를 IBM HTTP Server 설치 위치로 대체하십시오(제공된 apxs 스크립트를 사용하여 사용자 정의 플러그인 모듈을 빌드할 수 있음).# extattr +ap /opt/IBM/HTTPServer/modules/mod_jauth.so
- z/OS 시스템 SSL의 프로그램 제어를 설정하십시오. 인터넷을 통한 보안 통신을 제공하도록 IBM HTTP Server를 설정하는 경우, IBM HTTP Server는 z/OS 시스템 SSL(Secure Sockets Layer)을 사용하여 보안 연결을 설정합니다. 다음을 수행해야 IBM HTTP Server가 시스템 SSL을 사용할 수 있습니다.
- HTTP 서버 카탈로그 프로시저의 STEPLIB DD 연결이나 시스템 링크 목록에 시스템 SSL 로드 라이브러리(hlq.SIEALNKE)를 추가하십시오.
- RACF에 프로그램 제어 hlq.SIEALNKE를 설정하십시오.
RACF를 사용하여 프로그램 제어를 설정하려면 다음 명령을 실행하십시오.
프로그램 제어를 처음 설정하는 경우, RALTER 문 대신 RDEFINE 문을 사용하십시오. 다른 보안 제품을 사용하는 경우, 지시사항은 해당 제품 문서를 참조하십시오.RALTER PROGRAM * ADDMEM('hlq.SIEALNKE'//NOPADCHK) UACC(READ) SETROPTS WHEN(PROGRAM) REFRESH
- AF 키 링에 액세스하십시오.SSL 및 LDAP 인증 지원에서는 선택적으로 SAF 키 링에 저장된 인증서를 사용할 수 있습니다. 이를 위해서는 웹 서버 사용자 ID에 특정 SAF 권한이 있어야 합니다. 특히, 키 링을 사용하려면 웹 서버 사용자 ID에 IRR.DIGTCERT.LISTRING 기능에 대한 권한이 있어야 합니다. 필요한 일반적인 단계는 다음과 같습니다.
- 유니버셜 액세스 권한을 None으로 설정하여 IRR.DIGTCERT.LIST 및 IRR.DIGTCERT.LISTRING 자원을 정의하십시오.
- 웹 서버 사용자 ID에 FACILITY 클래스의 IRR.DIGTCERT.LIST 및 IRR.DIGTCERT.LISTRING 자원에 대한 읽기 액세스 권한을 허용하십시오.
- FACILITY 일반 자원 클래스를 활성화하십시오.
- FACILITY 일반 자원 클래스를 새로 고치십시오.
다음 명령은 RACF 명령입니다. WWWSERV를 IBM HTTP Server가 시작된 실제 사용자 ID로 바꾸십시오.
RACF 명령에 대한 자세한 지침은 z/OS Security Server RACF Security Administrator's Guide(SA22-7683)를 참조하십시오. z/OS 인터넷 라이브러리에서 이 문서에 링크할 수 있습니다.RDEFINE FACILITY IRR.DIGTCERT.LIST UACC(NONE) PE IRR.DIGTCERT.LIST CLASS(FACILITY) ID(WWWSERV) ACCESS(READ) RDEFINE FACILITY IRR.DIGTCERT.LISTRING UACC(NONE) PE IRR.DIGTCERT.LISTRING CLASS(FACILITY) ID(WWWSERV) ACCESS(READ) SETR CLASSACT(FACILITY) SETR RACLIST(FACILITY) REFRESH
- 하드웨어 암호화를 위해 사용자 ID에 CSFSERV에 대한 액세스 허용:
ICSF(Integrated Cryptographic Services Facility)는 암호화 하드웨어에 대한 소프트웨어 인터페이스입니다. 암호화 하드웨어 기능을 사용하여 IBM HTTP Server에 실행하려는 경우 ICSF 서비스 사용을 제한할 수 있습니다. ICSF 서비스 사용을 제한하려면 사용자 ID에 CSFSERV 일반 자원 클래스의 특정 프로파일에 대한 액세스를 허용할 수 있습니다. CSFSERV는 ICSF 소프트웨어 사용을 제어합니다. 0이 아닌 사용자 ID로 실행하도록 IBM HTTP Server를 정의한 경우, 0이 아닌 사용자 ID에 CSFSERV에 대한 READ 액세스를 제공할 수 있습니다. RACF 이외의 보안 제품을 사용하는 경우, 지시사항은 해당 제품 문서를 참조하십시오.
ICSF 서비스 사용을 제한하려면 다음 예제의 명령과 유사한 RACF 명령을 실행하십시오. IBM HTTP Server 이외의 애플리케이션이 ICSF를 사용 중이면 예제를 사용자 정의해야 합니다. 그렇지 않으면 다른 애플리케이션이 더 이상 ICSF 서비스에 액세스할 수 없습니다.
중요사항: 최신 TLS(Transport Layer Security) 지원에는 구성할 CSFSERV 일반 자원 클래스가 필요하며 IBM HTTP Server 사용자 ID로 액세스가 가능해야 합니다. 서버에 의한 난수 생성이 일반 조작 중 CSFRNG 호출을 생성하기 때문에 이 구성이 필요합니다.다음 예제에서는 WWWSERV ID 및 PUBLIC ID에 CSFSERV의 프로파일에 대한 액세스를 허용하는 방법을 보여줍니다.SETROPTS RACLIST(CSFSERV) GENERIC(CSFSERV) RDEFINE CSFSERV CSF* UACC(NONE) PERMIT CSF%%C CLASS(CSFSERV) ID(WWWSERV PUBLIC) ACCESS(READ) PERMIT CSFPK% CLASS(CSFSERV) ID(WWWSERV PUBLIC) ACCESS(READ) PERMIT CSFCK% CLASS(CSFSERV) ID(WWWSERV PUBLIC) ACCESS(READ) SETROPTS CLASSACT(CSFSERV) SETROPTS RACLIST(CSFSERV) GENERIC(CSFSERV) REFRESH
다음 예제에서는 사용자 ID 및 WWWSERV ID에 CSFSERV의 프로파일에 대한 액세스를 제공하는 방법을 보여줍니다.SETROPTS RACLIST(CSFSERV) GENERIC(CSFSERV) RDEFINE CSFSERV CSF%%C UACC(READ) RDEFINE CSFSERV CSFPK% UACC(READ) RDEFINE CSFSERV CSFCK% UACC(READ) SETROPTS CLASSACT(CSFSERV) SETROPTS RACLIST(CSFSERV) GENERIC(CSFSERV) REFRESH
- 키 스토리지용 암호화 하드웨어 사용(선택사항):
암호화 디바이스에서 키 스토리지를 수행하려면 z/OS Security Server RACF Security Administrator's Guide(SA22-7683)의 "Integrated Cryptographic Service Facility (ICSF) Considerations" 절을 참조하십시오.
ICSF 옵션에 대한 정보는 z/OS Cryptographic Services System Secure Sockets Layer (SSL) Programming(SC24-5901)의 "Using Hardware Cryptographic Features with System SSL" 절을 참조하십시오.
z/OS 인터넷 라이브러리에서 이 문서 둘 다에 링크할 수 있습니다.
- IBM HTTP Server의 사용자 ID 및 그룹을 작성하십시오.
- 환경 변수 * _BPX_JOBNAME 설정(선택사항): IBM HTTP Server는 httpd 프로세스의 환경 변수를 설정하기 위해 <installroot>/bin/envvars 파일을 제공합니다. 환경 변수 * _BPX_JOBNAME을 설정하여 서버에 구별되는 작업 이름을 제공할 수 있습니다. 이를 통해 다음을 수행할 수 있습니다.
- MVS 운영자 명령 및 SDSF(System Display and Search Facility)에서 서버 보기
- 워크로드 관리(WLM)의 서버를 분류하여 웹 통신량에 적합한 우선순위 제공
- 서버에 syslogd 분리 사용
- TCP/IP 구성에서 작업 이름으로 선택한 PORT 문 사용
일반적인 설정은 export _BPX_JOBNAME=HTTPD입니다. 기본값은 증분 정수를 작업 이름에 추가하는 것입니다(예: HTTPD1, HTTPD2, HTTPD3). 자세한 정보는 z/OS UNIX System Services Planning(GA22-7800)의 "Generating jobnames for OMVS address spaces" 절을 참조하십시오. z/OS 인터넷 라이브러리에서 이 문서에 링크하십시오.
_BPX_JOBNAME 변수를 사용하여 작업 이름을 설정하는 경우, 서버를 실행하는 데 사용하는 사용자 ID에는 SAF FACILITY 프로파일 BPX.JOBNAME에 대한 읽기 액세스 권한이 있어야 합니다. 예를 들면, 다음과 같습니다.
자세한 정보는 z/OS UNIX System Services Planning(GA22-7800)의 "Setting up the BPX.* FACILITY class profiles" 절을 참조하십시오. z/OS 인터넷 라이브러리에서 이 문서에 링크하십시오.RDEFINE FACILITY BPX.JOBNAME UACC(NONE) SETROPTS RACLIST(FACILITY) REFRESH PERMIT BPX.JOBNAME CLASS(FACILITY) ACCESS(READ) ID(WWWSERV) SETROPTS RACLIST(FACILITY) REFRESH RLIST FACILITY BPX.JOBNAME ALL


http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=ihs-dist&topic=tihs_sysconfigz
파일 이름:tihs_sysconfigz.html