[z/OS]

Übersicht über die Steuerelemente

Jeder Controller, Servant und Client muss seine eigene MVS-Benutzer-ID besitzen. Wenn eine Anforderung von einem Client an den Cluster bzw. von einem Cluster an einen anderen Cluster gesendet wird, gibt WebSphere Application Server for z/OS die Benutzeridentität (Client oder Cluster) mit der Anforderung weiter. Daher wird jede Anforderung im Auftrag der Benutzeridentität ausgeführt, und das System prüft, ob die Benutzeridentität die Berechtigung für die Ausführung der Anforderung besitzt. In den Tabellen in diesem Abschnitt sind die SAF- und Nicht-SAF-Berechtigungen (System Authorization Facility) umrissen.

Zusammenfassung der z/OS-Sicherheitssteuerelemente unabhängig von der Einstellung für die Verwaltungssicherheit

In einer Konfiguration von WebSphere Application Server for z/OS gibt es viele verschiedene Prozesstypen:
  • Deployment Manager
  • Node Agents
  • Location Service Daemons (LSDs)
  • WebSphere Application Server
Jeder dieser Prozesse kann als Prozess bzw. Prozesspaar (Controller und Servant) von WebSphere Application Server for z/OS betrachtet werden.

Jeder Controller und Servant muss unter einer gültigen MVS-Benutzer-ID ausgeführt werden, die als Teil der Definition einer gestarteten Task zugeordnet ist. Diese MVS-Benutzer-ID muss eine gültige UNIX Systems Services UID (User ID, Benutzer-ID) besitzen. Außerdem muss sie mit der WebSphere-Konfigurationsgruppe, die von allen Servern in der Zelle, die eine gültige MVS- und UNIX Systems Services GID (Group ID, Gruppen-ID) besitzen, verbunden sein.

Die folgende Tabelle enthält eine Zusammenfassung der Steuerelemente, mit denen die Berechtigungen, die diese Controller und Servants für den Zugriff auf Betriebssystemressourcen benötigen, erteilt werden. Wenn Sie sich mit diesen Steuerelementen vertraut gemacht haben, können Sie den Zugriff auf alle Ressourcen unter WebSphere Application Server for z/OS steuern.
Tabelle 1. Zusammenfassung der Steuerelemente und SAF-Berechtigungen.

Diese Tabelle enthält eine Zusammenfassung der Steuerelemente und deren SAF-Berechtigungen.

Steuerung Berechtigung
DATASET-Klasse Zugriff auf Datensätze
DSNR-Klasse Zugriff auf Database 2 (DB2)
FACILITY-Klasse (BPX.WLMSERVER) Zugriff auf das Profil BPX.WLMSERVER für die Verwaltung der WLM-Enklave im Servant. Ohne diesen Zugriff wird die Klassifikation nicht durchgeführt.
FACILITY-Klasse (IMSXCF.OTMACI) Zugriff auf Open Transaction Manager Access (OTMA) für Information Management System (IMS) und Zugriff auf das Profil BPX.WLMSERVER.
Berechtigungen für HFS-Dateien Zugriff auf HFS-Dateien (Hierarchical File System, hierarchisches Dateisystem)
LOGSTRM-Klasse Zugriff auf Protokolldatenströme
OPERCMDS-Klasse Zugriff auf das Shell-Script startServer.sh und Integral JMSProvider
SERVER-Klasse Zugriff auf einen Controller durch einen Servant
STARTED-Klasse Benutzer-ID (und optional Gruppen-ID) zuordnen, um die Prozedur zu starten
SURROGAT-Klasse (*.DFHEXCI) Zugriff auf EXCI für Customer Information Control System (CICS)

WebSphere z/OS Profile Management Tool bzw. der Befehl zpmt und die RACF-Anpassungsjobs (Resource Access Control Facility) dienen zur Definition der Werte für die anfänglichen Servereinstellungen für die *'ed-Profile.

Anmerkung: Beispiele für Berechtigungen für andere Profile können Sie in der generierten exec-Datei in HLQ.DATA(BBOWBRAC) finden. Die Auswahl einer Identität, die für die Berechtigung für native Connector-Ressourcen (CICS, DB2, , IMS) verwendet werden soll, ist von folgenden Kriterien abhängig:
  • Connectortyp
  • Einstellung für die Ressourcenauthentifizierung (resAuth) der implementierten Anwendung
  • Verfügbarkeit eines Aliasnamens
  • Sicherheitseinstellung
Ressourcenmanager, z. B. DB2, IMS und CICS, haben ihre eigenen Ressourcensteuerungen implementiert, die die Fähigkeit der Clients zum Ressourcenzugriff steuern. Wenn Ressourcensteuerungen von DB2 verwendet werden, müssen Sie die DSNR-RACF-Klasse (bei RACF-Unterstützung) verwenden oder die entsprechenden DB2-GRANT-Anweisungen absetzen. Sie können folgende Aktionen ausführen:
  • Zugriff auf OTMA für IMS über die FACILITY-Klasse (IMSXCF.OTMACI)
  • Zugriff auf EXCI für CICS über die SURROGAT-Klasse (*.DFHEXCI)
  • Steuerung des Zugriffs auf Datensätze über die DATASET-Klasse und HFS-Dateien mit Dateiberechtigung

Beachten Sie, dass die MVS-SAF-Berechtigung für alle anderen MVS-Subsystemressourcen, auf die von J2EE-Anwendungen zugegriffen wird, normalerweise von der MVS-Benutzer-ID des Servant durchgeführt wird. Weitere Informationen hierzu finden Sie im Artikel Java-EE-Identität und Betriebssystemthreadidentität.

Das Profil BPX.WLMSERVER in der FACILITY-Klasse wird verwendet, um einem Adressbereich die Berechtigung zu erteilen, die LE-Laufzeitservices (Language Environment) zu verwenden. Diese bilden eine Schnittstelle mit WLM und können verwendet werden, um die Auslastung in einer Serverregion zu überwachen. Diese LE-Laufzeitservices werden von WebSphere Application Server verwendet, um Klassifikationsdaten aus Enklaven zu extrahieren und die Zuordnung von Aufgaben zu einer Enklave zu verwalten. Da WLM-Enklaven für Aufgaben in der Serverregion, die nicht von einem Controller an einen Servant weitergegeben wurden, von unberechtigten Schnittstellen bearbeitet werden, sollten Servants von WebSphere Application Server die Leseberechtigung (Read) für dieses Profil haben. Ohne diese Berechtigung schlagen Versuche, eine WLM-Enklave zu erstellen, löschen, verknüpfen oder verlassen mit einer java.lang.SecurityException fehl.

Zusammenfassung der z/OS-Sicherheitssteuerelemente, wenn die Verwaltungssicherheit und die Anwendungssicherheit aktiviert sind

Wenn die Verwaltungssicherheit und die Anwendungssicherheit aktiviert sind, muss SSL für die Verschlüsselung und den Nachrichtenschutz verfügbar sein. Außerdem sind die Authentifizierung und Berechtigung von J2EE- und Verwaltungsclients aktiviert.

Die Berechtigung für die FACILITY-Klasse, die für SSL-Services benötigt wird, und die Definition von SAF-Schlüsselringen sind bei aktivierter Verwaltungssicherheit erforderlich.

Wenn eine Anforderung von einem Client an WebSphere Application Server bzw. von einem Cluster an einen anderen Cluster gesendet wird, gibt WebSphere Application Server for z/OS die Benutzeridentität (Client oder Cluster) mit der Anforderung weiter. Daher wird jede Anforderung im Auftrag der Benutzeridentität ausgeführt, und das System prüft, ob die Benutzeridentität die Berechtigung für die Ausführung der Anforderung besitzt. In den Tabellen in diesem Abschnitt werden z/OS-spezifische Berechtigungen mit SAF umrissen.

Die folgende Tabelle enthält eine Zusammenfassung der Steuerelemente, mit denen Berechtigungen für Ressourcen erteilt werden. Wenn Sie sich mit diesen Steuerelementen vertraut gemacht haben, können Sie den Zugriff auf alle Ressourcen unter WebSphere Application Server for z/OS steuern.
Tabelle 2. Zusammenfassung der Steuerelemente und SAF-Berechtigungen.

Diese Tabelle enthält eine Zusammenfassung der Steuerelemente und deren SAF-Berechtigungen.

Steuerung Berechtigung
CBIND-Klasse Zugriff auf einen Cluster
EJBROLE- oder GEJBROLE-Klasse Zugriff auf Methoden in Enterprise-Beans
FACILITY-Klasse (IRR.DIGTCERT.LIST und IRR.DIGTCERT.LISTRING) SSL-Schlüsselringe, Zertifikate und Zuordnungen
FACILITY-Klasse (IRR.RUSERMAP) Kerberos-Berechtigungsnachweise
FACILITY-Klasse (BBO.SYNC) Aktiviert SynchToOSThread zulässig
FACILITY-Klasse (BBO.TRUSTEDAPPS) Aktiviert anerkannte Anwendungen
SURROGAT-Klasse (BBO.SYNC) Aktiviert SynchToOSThread zulässig
PTKTDATA-Klasse PassTicket-Aktivierung im Systemkomplex
Betriebssystemthreadidentität auf RunAs-Identität setzen J2EE-Clustereigenschaft, die zur Aktivierung der Anfangsidentität für Nicht-J2EE-Ressourcen verwendet wird.

Symbol, das den Typ des Artikels anzeigt. Referenzartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rsec_sumofcontrol
Dateiname:rsec_sumofcontrol.html