![[z/OS]](../images/ngzos.gif)
Überprüfung der Berechtigungen von Serverprozessen
Sie können bestimmte Einschränkungen für den Zugriff auf z/OS-Ressourcen definieren.
Gehen Sie wie folgt vor, um den Zugriff auf Ressourcen von WebSphere Application Server for z/OS steuern:
- Generell sollten Sie Controllern mehr und Servants weniger Berechtigungen einräumen.
Tabelle 1. Vertrauenswürdigkeit und Berechtigungsstufe für Regionen. In dieser Tabelle sind Vertrauenswürdigkeit und Berechtigungsstufe für Regionen aufgeführt.
Region Vertrauenswürdigkeit und Zugriffsberechtigung Controller Anmerkung:- Enthält Systemcode von WebSphere Application Server for z/OS
- Vertrauenswürdig, wird mit APF-Autorisierung ausgeführt
- Enthält Kommunikationsports und ändert SAF-Client-IDs
Servant Anmerkung:- Enthält Systemcode von WebSphere Application Server for z/OS, Anwendungscode und Plug-ins für Service-Provider z. B. für JDBC Driver)
- Unterstützt Java™-2-Sicherheit zum Schutz sensibler Daten und von Systemservices
- Nicht vertrauenswürdig
- Für Laufzeitcluster mit WebSphere Application Server for z/OS gilt als generelle Regel, dass
dem Location Service Daemon weniger und dem Knoten mehr Berechtigungen eingeräumt werden sollten.
Schauen Sie sich dazu die folgende Tabelle an:
Tabelle 2. Clustersteuerung und Servants der Laufzeit von WebSphere Application Server for z/OS Berechtigungen zuordnen. In der folgenden Tabelle sind die erforderlichen Berechtigungen für Clustersteuerung und Servants der Laufzeit von WebSphere Application Server for z/OS ausgeführt.
Laufzeitcluster Region Erforderliche Berechtigungen Location Service Daemon Steuerung - Klasse STARTED
- Zugriff auf Workload-Manager-Services (WLM)
- Zugriff auf DNS
- OPERCMDS-Zugriff auf START, STOP, CANCEL, FORCE und MODIFY für andere Cluster
- IRR.DIGTCERT.LIST und IRR.DIGCERT.LISTRING in FACILITY (SSL)
Knoten Steuerung Klasse STARTED Controller Steuerung - SSL
- Kerberos
- Leseberechtigung (READ) für die Klasse SERVER
- OPERCMDS-Zugriff auf START, STOP, CANCEL, FORCE und MODIFY für andere Server
Servant Steuerung Folgende Klassen: - OTMA
- SERVER
- DSNR
- DATASET
- SURROGATE
- STARTED
- LOGSTREEAM
- Denken Sie daran, die RRS-Protokolldatenströme (Resource Recovery Services) zu schützen. Standardmäßig ist UACC auf READ gesetzt.
- Schützen Sie die XML-Eigenschaftendateien von WebSphere Application Server for z/OS, insbesondere, wenn sie Kennwörter enthalten. Nähere Informationen hierzu finden Sie in der Administrationskonsole oder in der Dokumentation im Abschnitt zu den Variablen von WebSphere Application Server.
- Der Deployment Manager muss berechtigt sein, Server zu starten und zu stoppen.