[z/OS]

Sicherheit für WebSphere Application Server for z/OS

WebSphere Application Server for z/OS unterstützt den Ressourcenzugriff von Clients und Servern in einer verteilten Umgebung. Überlegen Sie, wie der Zugriff auf die Ressourcen gesteuert werden soll, um eine versehentliche oder vorsätzliche Vernichtung von Systemdaten zu vermeiden.

Im verteilten Netz müssen Sie Folgendes beachten:
  • Sie müssen Server für die Basisbetriebssystemservices von z/OS berechtigen. Zu diesen Services gehören SAF-Sicherheit (System Authorization Facility), Datenbankverwaltung und Transaktionsverwaltung.
    • Bei den Server-Clustern müssen Sie zwischen Controllern und Servants unterscheiden. Controller führen autorisierten Systemcode aus und sind somit vertrauenswürdig. Servants führen Anwendungscode aus und müssen für den Zugriff auf Ressourcen berechtigt werden. Sie sollten die Servants gewährten Berechtigungen sorgfältig prüfen.
    • Sie müssen zwischen den Berechtigungsebenen für Laufzeitserver und für Ihre eigenen Anwendungsserver unterscheiden. Der Knoten muss beispielsweise berechtigt sein, andere Cluster zu starten. Ihre eigenen Anwendungscluster benötigen diese Berechtigung nicht.
  • Sie müssen Clients (Benutzer) für Server und Objekte innerhalb der Server berechtigen. Jeder Client muss entsprechend seinen Kenndaten gesondert geprüft werden.
    • Befindet sich der Client auf einem lokalen oder fernen System? Bei fernen Clients muss die Netzsicherheit berücksichtigt werden.
    • Dürfen nicht identifizierte (nicht authentifizierte) Clients auf das System zugreifen? Einige Ressourcen auf Ihrem System können für den allgemeinen Zugriff bestimmt sein, wohingegen andere geschützt werden müssen. Für den Zugriff auf geschützte Ressourcen müssen Clients Ihre Identität angegeben. Außerdem müssen Sie berechtigt sein, diese Ressourcen zu nutzen.
  • Authentifizierung ist die Angabe der Identität eines Clients in einem bestimmten Kontext. Ein Client kann ein Endbenutzer, eine Maschine oder eine Anwendung sein. In WebSphere Application Server for z/OS bezieht sich der Begriff "Authentifizierungsverfahren" speziell auf die Einrichtung, in der WebSphere mit HTTP- und JMX-Funktionen (Java™ Management Extensions) eine authentifizierte Identität feststellt. Wenn Sie eine Zelle konfigurieren, müssen Sie ein Authentifizierungsverfahren auswählen. Folgende Authentifizierungsverfahren stehen zur Auswahl:
    • Simple WebSphere Authorization Mechanism (SWAM) - Nur für das Basisprodukt Application Server. Nicht in der Network Deployment-Konfiguration verfügbar.
      Anmerkung: SWAM ist in WebSphere Application Server Version 9.0 veraltet und wird in einem der künftigen Releases nicht mehr enthalten sein.
    • LTPA (Lightweight Third Party Authentication)
    • Kerberos
  • Informationen über Benutzer und Gruppen sind in einer Benutzerregistry gespeichert. In WebSphere Application Server authentifiziert eine Benutzerregistry einen Benutzer und ruft Informationen über Benutzer und Gruppen ab, um sicherheitsrelevante Funktionen wie Authentifizierung und Berechtigung auszuführen. Es steht eine Implementierung zur Verfügung, die auf mehreren Betriebssystemen oder Betriebsumgebungen basierende Benutzerregistrys unterstützt. Wenn Sie eine Zelle konfigurieren, müssen Sie eine Benutzerregistry auswählen. Dies kann eine lokale oder ferne Registry sein. Folgende Benutzerregistrys stehen zur Auswahl:
    • SAF-basierte lokale Registry (Standard, wenn während der Anpassung ein z/OS-Sicherheitsprodukt für die Verwaltungssicherheit ausgewählt wird)
    • Eigenständige LDAP-Registry (Lightweight Directory Access Protocol) - LDAP kann eine lokale oder ferne Registry sein.
    • Eigenständige angepasste Benutzerregistry - Eine angepasste Benutzerregistry ist an eindeutige Anforderungen angepasst. WebSphere Application Server stellt ein einfaches Beispiel für eine Benutzerregistry (FileBasedRegistrySample) bereit.
    • Eingebundene Repositorys (Standard, wenn während der Anpassung WebSphere Application Server für die Verwaltungssicherheit ausgewählt wird)
Wenn Sie Ressourcen schützen müssen, ist die Identifizierung derer, die auf diese Ressourcen zugreifen, von entscheidender Bedeutung. Jedes Sicherheitssystem erfordert demzufolge die Identifizierung von Clients (Benutzern), die als Authentifizierung bezeichnet wird. In einem von WebSphere Application Server for z/OS unterstützten verteilten Netz können Clients von folgenden Systemen aus auf Ressourcen zugreifen:
  • Systemen innerhalb desselben Systems wie ein Server
  • Systemen innerhalb desselben Sysplex wie der Server
  • fernen z/OS-Systemen
  • heterogenen Systemen wie WebSphere Application Server auf verteilten Plattformen, CICS (Customer Information Control System) oder anderen Java EE-konformen (Java Platform, Enterprise Edition) Systemen

Darüber hinaus kann es erforderlich sein, dass ein Server die Serviceanforderung eines Clients an einen anderen Cluster weiterleitet. In diesen Fällen muss das System die Delegation und die Verfügbarkeit der Clientidentität für zwischengeschaltete Cluster und Zielcluster gewährleisten.

Wie stellen Sie in einem verteilten Netz sicher, dass Nachrichten vertraulich übergeben werden und nicht manipuliert werden können? Wie können Sie sichergehen, dass Clients die sind, die sie behaupten zu sein? Wie ordnen Sie z/OS-Identitäten Netzidentitäten zu? Für diese Fragestellungen bietet WebSphere Application Server for z/OS die folgende Unterstützung:
  • Verwendung von SSL (Secure Sockets Layer) und digitalen Zertifikaten
  • Kerberos
  • Common Secure Interoperability Version 2 (CSIV2)
  • Simple and Protected Negotiation Mechanism (SPNEGO)
  • Feature für die Zuordnung verteilter Identitäten in SAF

Symbol, das den Typ des Artikels anzeigt. Konzeptartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=csec_settingup
Dateiname:csec_settingup.html