![[z/OS]](../images/ngzos.gif)
Tipps zur Optimierung der Sicherheit
Die Erhöhung der Sicherheit bedeutet im Allgemeinen Folgendes: Die Kosten pro Transaktion steigen und der Durchsatz geht zurück. Beachten Sie beim Konfigurieren von WebSphere Application Server die folgenden Informationen zur Sicherheit.
SAF-Klasse
Wenn eine SAF-Klasse (RACF oder eine äquivalente Klasse) aktiv ist, wirkt sich die Anzahl der Profile in einer Klasse auf die Gesamtleistung der Prüfung aus. Sie können den Durchsatz der Zugriffsprüfung verbessern, indem Sie diese Profile in eine (in der RACLIST enthaltene) Speichertabelle stellen. Die Protokollierungssteuerung bei der Zugriffsprüfung kann sich ebenfalls auf den Durchsatz auswirken. In der Regel werden nur Fehler und keine Erfolgsmeldungen protokolliert. Prüfereignisse werden in DASD protokolliert und erhöhen den Aufwand für die Zugriffsprüfung. Da alle Überprüfungen von Sicherheitsberechtigungen mit SAF (RACF oder einer äquivalenten Klasse) durchgeführt werden, können Sie SAF-Klassen aktivieren und inaktivieren, um die Sicherheit zu steuern. Der Systemaufwand für eine inaktivierte Klasse kann vernachlässigt werden.
Wenn eine SAF-Klasse nicht in RACLIST aufgeführt ist, müssen Sie außerdem den Anwendungsserver starten, damit alle Änderungen wirksam werden, die an Profilen in der Klasse vorgenommen wurden.

EJBROLEs in Methoden
Verwenden Sie für Methoden eine minimale Anzahl von EJBROLEs. Wenn Sie EJBROLEs verwenden, bedeuten mehr Rollen für eine Methode zusätzliche Zugriffsprüfungen, die ausgeführt werden müssen, und eine insgesamt langsamere Methodenzuteilung. Falls Sie keine EJBROLEs verwenden, sollten Sie die Klasse nicht aktivieren.
Java-2-Sicherheit
Wenn Sie die Java™-2-Sicherheit nicht benötigen, inaktivieren Sie sie. Anweisungen zum Inaktivieren der Java-2-Sicherheit finden Sie im Artikel Systemressourcen und APIs (Java-2-Sicherheit) für die Entwicklung von Anwendungen schützen.
Berechtigungsstufe
- Lokale Authentifizierung: Die lokale Authentifizierung ist stark optimiert und somit die schnellste Art der Authentifizierung.
- Authentifizierung mit Benutzer-ID und Kennwort: Eine Authentifizierung, bei der eine Benutzer-ID und ein Kennwort verwendet werden, bedeutet einen hohen Aufwand beim ersten Aufruf. Alle nachfolgenden Aufrufe sind kostengünstiger.
- Kerberos-Sicherheitsauthentifizierung: Die Kosten der Kerberos-Sicherheit können derzeit nicht genau beziffert werden.
- SSL-Sicherheitsauthentifizierung: Die SSL-Sicherheit ist in der Industrie für ihren hohen Systemaufwand bekannt. Unter z/OS kann dieser Aufwand durch zahlreiche Möglichkeiten der Hardwareunterstützung jedoch begrenzt werden.
Verschlüsselungsstufe mit SSL
Wenn Sie Secure Sockets Layer (SSL) verwenden, wählen Sie die niedrigste Verschlüsselungsstufe aus, die Ihren Sicherheitsanforderungen noch entspricht. In WebSphere Application Server können Sie auswählen, welche Cipher Suites verwendet werden. Die Cipher Suites geben den Verschlüsselungsgrad der Verbindung vor. Je höher der Verschlüsselungsgrad ist, desto stärker ist die Auswirkung auf den Durchsatz.
RACF-Optimierung
Beachten Sie bei der RACF-Optimierung Folgendes:
- Verwenden Sie RACLIST, um Elemente, die den Durchsatz steigern, in den
Speicher zu stellen. Stellen Sie sicher, dass Sie mit RACLIST (sofern Sie es verwenden)
Folgendes angeben:
- CBIND
- EJBROLE
- SERVER
- STARTED
FACILITY
SURROGAT
Beispiel:RACLIST (CBIND, EJBROLE, SERVER, STARTED, FACILITY, SURROGAT)
- Die Verwendung von Techniken wie SSL hat ihren Preis. Wenn Sie ein starker SSL-Benutzer sind, stellen Sie sicher, dass Sie die richtige Hardware, z. B. PCI-Verschlüsselungskarten, haben, um den Handshakeprozess zu beschleunigen.
- Nachfolgend ist das Definieren des Profils für die Funktionsklasse BPX.SAFFASTPATH beschrieben. Mit diesem Profil können
Sie SAF-Aufrufe umgehen, mit denen erfolgreiche Zugriffe auf das SFS überprüft werden.
- Definieren Sie das Funktionsklassenprofil für RACF.
RDEFINE FACILITY BPX.SAFFASTPATH UACC(NONE)
- Führen Sie einen der folgenden Schritte aus, um diese Änderung in Kraft zu setzen:
- Führen Sie ein erneutes IPL durch.
- Rufen Sie den Bedienerbefehl SETOMVS oder SET OMVS auf.
Anmerkung: Verwenden Sie diese Option nicht, wenn erfolgreiche Zugriffe auf das HFS überwacht werden sollen oder wenn Sie den Exit IRRSXT00 zur Steuerung des HFS-Zugriffs benutzen. - Definieren Sie das Funktionsklassenprofil für RACF.
- Stellen Sie die Benutzer- und Gruppen-IDs wie im folgenden Beispiel-PARMLIB-Member COFVLFxx gezeigt in den
VLF-Cache: Beispiel: sys1.parmlib(COFVLFxx):
Stellen Sie sicher, dass es für alle HFS-Dateien gültige GIDs und UIDs gibt. So können Sie eine kostspielige Suche in den RACF-Datenbanken vermeiden.********************************* Top of Data ********************. . CLASS NAME(IRRGMAP) EMAJ(GMAP) CLASS NAME(IRRUMAP) EMAJ(UMAP) CLASS NAME(IRRGTS) EMAJ(GTS) CLASS NAME(IRRACEE) EMAJ(ACEE) . ********************************** Datenende *********************
- Aktivieren Sie die Einstellung ALWAYS für globale Prüfungen für RACF-(SAF-)Klassen, die den Zugriff auf Objekte im UNIX-Dateisystem steuern, nicht. Wenn Sie ALWAYS in SETR LOGOPTIONS für die RACF-Klasse DIRACC, DIRSRCH, FSOBJ oder FSSEC angeben, wird die Leistung erheblich beeinträchtigt. Ist eine Prüfung erforderlich, prüfen Sie Fehler nur mit SETR LOGOPTIONS, und die Prüfung ist nur für ausgewählte Objekte erfolgreich, die die Prüfung erfordern. Nach der Änderung der Prüfstufe für diese Klassen, vergewissern Sie sich immer, dass die Änderung keine inakzeptbalen Auswirkungen auf die Antwortzeiten oder die CPU-Belastung hat.