Executando Configurações do Sistema z/OS Necessárias
Antes de iniciar o IBM® HTTP Server, há configurações do sistema z/OS necessárias que você deve configurar.
Sobre Esta Tarefa
- Configure o parâmetro memlimit.
- Configurar um mecanismo para permitir acesso a portas com valores baixos.
- Configurações Obrigatórias do SAF (System Authorization Facility).
- Crie um ID e grupo para o usuário para o IBM HTTP Server.
- Configure o controle de programa para os conjuntos de dados MVS necessários.
- Configure o controle de programa para arquivos HFS.
- Configure o controle de programa para o z/OS System SSL.
- Acesso aos conjuntos de chaves SAF.
- Permitindo IDs de usuário para criptografia de hardware CSFSERV.
- Usando o hardware de criptografia para o armazenamento de chaves (opcional).
- Configurando variáveis de ambiente * _BPX_JOBNAME (opcional).
Procedimento
- Configure o parâmetro MEMLIMIT. O parâmetro MEMLIMIT controla a quantidade de memória virtual com mais de dois gigabytes para um determinado espaço de endereço. A configuração padrão para MEMLIMIT é 0. No entanto,
todos os programas binários fornecidos com o IBM HTTP
Server são aplicativos de 64 bits e estes aplicativos não estarão
operacionais com a configuração padrão para MEMLIMIT.O parâmetro MEMLIMIT pode ser definido:
- No segmento OMVS do ID do usuário utilizado para executar o servidor:
ALTUSER WWWSERV OMVS(MEMLIMIT(512M))
- No membro parmlib SMFPRMxx. A definição do membro parmlib SMFPRMxx estabelecerá o padrão MEMLIMIT em todo o sistema.
Para obter uma descrição completa de como configurar MEMLIMIT, consulte a seção "Limiting the use of memory objects" no z/OS MVS Programming Extended Addressability Guide (SA22-7614). É possível acessar esse documento a partir do z/OS Internet Library.
O IBM HTTP Server requer aproximadamente 5,4 megabytes de memória virtual de 64 bits por encadeamento. A configuração mínima recomendada de MEMLIMIT para a operação adequada do IBM HTTP Server é: 6 * (ThreadsPerChild + 3) megabytes.
- No segmento OMVS do ID do usuário utilizado para executar o servidor:
- Configure um mecanismo para permitir o acesso às portas baixas. O ID do usuário do servidor da Web deve ter acesso às portas TCP, nas quais ele
tratará das conexões cliente. Se forem utilizados valores de portas inferiores a 1.024, como
as portas do servidor da Web 80 e 443, uma configuração especial será necessária para permitir
que o servidor da Web se ligue à porta. É possível utilizar um dos seguintes mecanismos para permitir acesso a portas com valores baixos:
- Define a diretiva PORT na configuração TCP/IP.
- Desative RESTRICTLOWPORTS na configuração TCP/IP.
- Codifique o nome da tarefa do servidor da Web em uma instrução PORT na configuração TCP/IP.
- Codifique um curinga para o nome da tarefa em uma instrução PORT na configuração TCP/IP.
- Codifique um valor do SAF e safname na instrução PORT na configuração TCP/IP e forneça ao ID do usuário do servidor da Web acesso de leitura para o perfil da classe EZB.PORTACCESS.sysname.stackname.safname do SAF FACILITY.
Para obter mais informações sobre os métodos de configuração para permitir o acesso a portas baixas, consulte as seções "Port access control" e "Setting up reserved port number definitions in PROFILE.TCPIP" no z/OS Communications Server IP Configuration Guide (SC31-8775). É possível acessar esse documento a partir do z/OS Internet Library.
Para obter uma explicação de como os nomes de tarefas do Unix System Services (como os das instâncias do IBM HTTP Server) são determinados, consulte a seção "Generating jobnames for OMVS address spaces" no z/OS UNIX System Services Planning (GA22-7800). Crie o link para este documento a partir do z/OS Internet Library.
- Configurações necessárias do System Authorization Facility (SAF).
- Crie um ID do usuário e um grupo para o IBM HTTP Server.É possível utilizar um novo ID de usuário ou um já existente. Ele deve ter um segmento OMVS e o UID não pode ser zero. O exemplo a seguir contém comandos RACF para criar um novo usuário e grupo.
Exemplo de senhas ADDGROUP WWWGROUP OMVS(GID(999)) ADDUSER WWWSERV DFLTGRP(WWWGROUP) OMVS(UID(999)) PASSWORD(password)
O administrador de segurança deve definir a senha para o ID do usuário do servidor da Web, em vez de permitir que ela seja padrão, para evitar que um usuário não autorizado efetue logon com esse ID de usuário. O comando ALTUSER pode ser usado para modificar a senha de um ID do usuário existente.Exemplo de passphrase ADDGROUP WWWGROUP OMVS(GID(999)) ADDUSER WWWSERV DFLTGRP(WWWGROUP) OMVS(UID(999)) PHRASE('my0users@99#701_workgroup')
Nota: Se você usar um procedimento catalogado JCL para iniciar uma instância do IBM HTTP Server, crie um perfil SAF STARTED para designar o ID do usuário do servidor e o ID do grupo para a tarefa iniciada pelo servidor. Por exemplo, para utilizar um procedimento catalogado chamado WEBSRV1:RDEFINE STARTED WEBSRV1.* STDATA(USER(WWWSERV) GROUP(WWWGROUP) TRACE(YES))
- Configure o controle de programa para conjuntos de dados MVS necessários. Assegure que o controle de programa esteja ativado para os conjuntos de dados MVS a seguir. Para hlq, digite o qualificador de alto nível para a instalação do sistema, por exemplo: SYS1.LINKLIB.
- hlq.LINKLIB
- hlq.SCEERUN
- hlq.SCEERUN2
- hlq.SCLBDLL
O exemplo a seguir mostrar como ativar o controle de programa usando os comandos RACF. Se você estiver utilizando outro produto de segurança, consulte a documentação desse produto para obter instruções. Se você estiver ativando o controle de programa pela primeira vez, será necessário utilizar as instruções RDEFINE em vez de instruções RALTER:
Nesse exemplo, um asterisco (*) é utilizado para especificar todos os programas no conjunto de dados.RALTER PROGRAM * ADDMEM('hlq.LINKLIB'//NOPADCHK) UACC(READ) RALTER PROGRAM * ADDMEM('hlq.SCEERUN'//NOPADCHK) UACC(READ) RALTER PROGRAM * ADDMEM('hlq.SCLBDLL') UACC(READ) SETROPTS WHEN(PROGRAM) REFRESH
- Configure o controle de programa para arquivos HFS.A lógica de instalação do SMP/E ativa o bit de controle de programa necessário para as bibliotecas fornecidas e os arquivos executáveis. Se você instalar os módulos de plug-in customizados, utilize o comando extattr para ativar os sinalizadores APF e Program Control. Exemplo:
Neste exemplo, substitua o local da instalação do IBM HTTP Server para /opt/IBM/HTTPServer/. (Você pode construir módulos de plug-in customizados utilizando o script apxs fornecido).# extattr +ap /opt/IBM/HTTPServer/modules/mod_jauth.so
- Configure o controle de programa para z/OS System SSL.Se você configurar seu IBM HTTP Server para fornecer comunicações seguras pela Internet, o IBM HTTP Server usará o z/OS System Secure Sockets Layer (SSL) para estabelecer as conexões seguras. Antes do IBM HTTP Server poder usar o System SSL, você deve:
- Inclua a biblioteca de carregamento SSL do Sistema (hlq.SIEALNKE) na lista de links do sistema ou na concatenação STEPLIB DD no procedimento catalogado do HTTP Server.
- Configure o controle de programa hlq.SIEALNKE no RACF.
Para ativar o controle de programa usando RACF, emita o comando a seguir:
Se você estiver ativando o controle de programa pela primeira vez, será necessário utilizar as instruções RDEFINE em vez de instruções RALTER. Se você estiver utilizando outro produto de segurança, consulte a documentação desse produto para obter instruções.RALTER PROGRAM * ADDMEM('hlq.SIEALNKE'//NOPADCHK) UACC(READ) SETROPTS WHEN(PROGRAM) REFRESH
- Acesso a conjuntos de chaves SAF.O suporte à autenticação SSL e LDAP pode, opcionalmente, utilizar certificados armazenados em conjuntos de chaves SAF. Isso requer que o ID do usuário do servidor da Web tenha determinadas permissões SAF. Especificamente, o ID do usuário do servidor da Web deve ser permitido para o recurso IRR.DIGTCERT.LISTRING, a fim de utilizar os conjuntos de chaves. Aqui encontram-se as etapas gerais necessárias:
- Defina os recursos IRR.DIGTCERT.LIST e IRR.DIGTCERT.LISTRING com acesso universal None.
- Permita acesso de leitura do ID do usuário do servidor da Web aos recursos IRR.DIGTCERT.LIST e IRR.DIGTCERT.LISTRING na classe FACILITY.
- Ative a classe de recursos gerais FACILITY.
- Atualize a classe de recursos gerais FACILITY.
Os comandos a seguir são os comandos RACF. Substitua WWWSERV pelo ID do usuário real sob o qual o IBM HTTP Server é iniciado.
Para obter um guia completo para os comandos RACF, consulte o z/OS Security Server RACF Security Administrator's Guide (SA22-7683). É possível acessar esse documento a partir do z/OS Internet Library.RDEFINE FACILITY IRR.DIGTCERT.LIST UACC(NONE) PE IRR.DIGTCERT.LIST CLASS(FACILITY) ID(WWWSERV) ACCESS(READ) RDEFINE FACILITY IRR.DIGTCERT.LISTRING UACC(NONE) PE IRR.DIGTCERT.LISTRING CLASS(FACILITY) ID(WWWSERV) ACCESS(READ) SETR CLASSACT(FACILITY) SETR RACLIST(FACILITY) REFRESH
- Permitindo IDs do usuário para CSFSERV para criptografia de hardware:
O ICSF (Integrated Cryptographic Services Facility) é a interface de software para o hardware de criptografia. Se planeja executar o IBM HTTP Server com o recurso de hardware de criptografia, é possível restringir o uso de serviçoss do ICSF. Para restringir o uso de serviços ICSF, você pode permitir IDs de usuários para determinados perfis na classe de recursos geral CSFSERV. CSFSERV controla o uso de software do ICSF. Se tiver definido seu IBM HTTP Server para executar com um ID do usuário diferente de zero, será possível fornecer o acesso de LEITURA do ID do usuário diferente de zero para CSFSERV. Se estiver usando um produto de segurança diferente de RACF, consulte a documentação desse produto para obter instruções.
Se desejar restringir o uso de serviços ICSF, emita comandos RACF semelhantes aos comandos nos exemplos a seguir. Se tiver aplicativos diferentes de IBM HTTP Server que estão usando ICSF, você deverá customizar os exemplos. Do contrário, os outros aplicativos não terão mais acesso aos serviços ICSF.
Importante: O moderno suporte à Segurança da Camada de Transporte (TLS) requer que a classe de recurso geral CSFSERV esteja configurada e acessível pelo ID do usuário do IBM HTTP Server. Essa configuração é necessária porque a geração de um número aleatório pelo servidor gera chamadas CSFRNG durante uma operação normal.O exemplo a seguir mostra como permitir que o ID WWWSERV e o ID PUBLIC acessem perfis em CSFSERV.SETROPTS RACLIST(CSFSERV) GENERIC(CSFSERV) RDEFINE CSFSERV CSF* UACC(NONE) PERMIT CSF%%C CLASS(CSFSERV) ID(WWWSERV PUBLIC) ACCESS(READ) PERMIT CSFPK% CLASS(CSFSERV) ID(WWWSERV PUBLIC) ACCESS(READ) PERMIT CSFCK% CLASS(CSFSERV) ID(WWWSERV PUBLIC) ACCESS(READ) SETROPTS CLASSACT(CSFSERV) SETROPTS RACLIST(CSFSERV) GENERIC(CSFSERV) REFRESH
O exemplo a seguir mostra como fornecer acesso aos IDs de usuário e ao ID WWWSERV para perfis em CSFSERV.SETROPTS RACLIST(CSFSERV) GENERIC(CSFSERV) RDEFINE CSFSERV CSF%%C UACC(READ) RDEFINE CSFSERV CSFPK% UACC(READ) RDEFINE CSFSERV CSFCK% UACC(READ) SETROPTS CLASSACT(CSFSERV) SETROPTS RACLIST(CSFSERV) GENERIC(CSFSERV) REFRESH
- Usando hardware de criptografia para armazenamento de chave (opcional):
Para executar armazenamento de chave em dispositivos criptográficos, consulte "Integrated Cryptographic Service Facility (ICSF) Considerations" no z/OS Security Server RACF Security Administrator's Guide (SA22-7683).
Para obter informações sobre opções de ICSF, consulte a seção "Using Hardware Cryptographic Features with System SSL" no z/OS Cryptographic Services System Secure Sockets Layer (SSL) Programming (SC24-5901).
É possível acessar esses dois documentos a partir do z/OS Internet Library.
- Crie um ID do usuário e um grupo para o IBM HTTP Server.
- Configurando a variável de ambiente * _BPX_JOBNAME (opcional): O IBM HTTP Server fornece o arquivo <installroot>/bin/envvars para configurar variáveis de ambiente para os processos httpd. Você pode definir a variável de ambiente * _BPX_JOBNAME para fornecer ao servidor um nome de tarefa distinto. Isso permite a você:
- Consulte o servidor em comandos do operador MVS e System Display and Search Facility (SDSF).
- Categorizar o servidor em WLM (gerenciamento de carga de trabalho) para fornecer prioridade adequada para tráfego na Web.
- Utilizar a isolação syslogd para o servidor.
- Utilizar instruções PORT da configuração TCP/IP selecionadas pelo nome da tarefa.
Uma configuração típica é: export _BPX_JOBNAME=HTTPD. O padrão é anexar um inteiro de incremento no nome da tarefa, como HTTPD1, HTTPD2, HTTPD3. Para obter mais informações, consulte a seção "Generating jobnames for OMVS address spaces" no z/OS UNIX System Services Planning (GA22-7800). Crie o link para este documento a partir do z/OS Internet Library.
Se você utilizar a variável _BPX_JOBNAME para definir o nome da tarefa, o ID do usuário que você utiliza para executar o servidor deve ter acesso de leitura para o perfil BPX.JOBNAME do SAF FACILITY. Exemplo:
Para obter mais informações, consulte a seção "Setting up the BPX.* FACILITY class profiles" no z/OS UNIX System Services Planning (GA22-7800). Crie o link para este documento a partir do z/OS Internet Library.RDEFINE FACILITY BPX.JOBNAME UACC(NONE) SETROPTS RACLIST(FACILITY) REFRESH PERMIT BPX.JOBNAME CLASS(FACILITY) ACCESS(READ) ID(WWWSERV) SETROPTS RACLIST(FACILITY) REFRESH RLIST FACILITY BPX.JOBNAME ALL


http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=ihs-dist&topic=tihs_sysconfigz
Nome do arquivo: tihs_sysconfigz.html