![[z/OS]](../images/ngzos.gif)
Sicherheit für WebSphere Application Server for z/OS
WebSphere Application Server for z/OS unterstützt den Ressourcenzugriff von Clients und Servern in einer verteilten Umgebung. Überlegen Sie, wie der Zugriff auf die Ressourcen gesteuert werden soll, um eine versehentliche oder vorsätzliche Vernichtung von Systemdaten zu vermeiden.
Im verteilten Netz müssen Sie Folgendes beachten:
- Sie müssen Server für die Basisbetriebssystemservices von z/OS berechtigen.
Zu diesen Services gehören SAF-Sicherheit (System Authorization Facility), Datenbankverwaltung und Transaktionsverwaltung.
- Bei den Server-Clustern müssen Sie zwischen Controllern und Servants unterscheiden. Controller führen autorisierten Systemcode aus und sind somit vertrauenswürdig. Servants führen Anwendungscode aus und müssen für den Zugriff auf Ressourcen berechtigt werden. Sie sollten die Servants gewährten Berechtigungen sorgfältig prüfen.
- Sie müssen zwischen den Berechtigungsebenen für Laufzeitserver und für Ihre eigenen Anwendungsserver unterscheiden. Der Knoten muss beispielsweise berechtigt sein, andere Cluster zu starten. Ihre eigenen Anwendungscluster benötigen diese Berechtigung nicht.
- Sie müssen Clients (Benutzer) für Server und Objekte innerhalb der Server berechtigen.
Jeder Client muss entsprechend seinen Kenndaten gesondert geprüft werden.
- Befindet sich der Client auf einem lokalen oder fernen System? Bei fernen Clients muss die Netzsicherheit berücksichtigt werden.
- Dürfen nicht identifizierte (nicht authentifizierte) Clients auf das System zugreifen? Einige Ressourcen auf Ihrem System können für den allgemeinen Zugriff bestimmt sein, wohingegen andere geschützt werden müssen. Für den Zugriff auf geschützte Ressourcen müssen Clients Ihre Identität angegeben. Außerdem müssen Sie berechtigt sein, diese Ressourcen zu nutzen.
- Authentifizierung ist die Angabe der Identität eines Clients in einem bestimmten Kontext. Ein Client
kann ein Endbenutzer, eine Maschine oder eine Anwendung sein. In
WebSphere Application Server
for z/OS bezieht sich der Begriff
"Authentifizierungsverfahren" speziell auf die Einrichtung,
in der WebSphere mit HTTP- und
JMX-Funktionen (Java™ Management Extensions)
eine authentifizierte Identität feststellt. Wenn Sie eine Zelle konfigurieren, müssen Sie ein Authentifizierungsverfahren auswählen. Folgende Authentifizierungsverfahren
stehen zur Auswahl:
- Simple WebSphere Authorization
Mechanism (SWAM) - Nur für das Basisprodukt Application Server. Nicht in der Network Deployment-Konfiguration verfügbar. Anmerkung: SWAM ist in WebSphere Application Server Version 9.0 veraltet und wird in einem der künftigen Releases nicht mehr enthalten sein.
- LTPA (Lightweight Third Party Authentication)
- Kerberos
- Simple WebSphere Authorization
Mechanism (SWAM) - Nur für das Basisprodukt Application Server. Nicht in der Network Deployment-Konfiguration verfügbar.
- Informationen über
Benutzer und Gruppen sind in einer Benutzerregistry gespeichert. In WebSphere Application Server
authentifiziert eine Benutzerregistry einen Benutzer und
ruft Informationen über Benutzer und Gruppen ab, um sicherheitsrelevante Funktionen
wie Authentifizierung und Berechtigung auszuführen. Es steht eine Implementierung zur Verfügung, die
auf mehreren Betriebssystemen oder Betriebsumgebungen basierende Benutzerregistrys unterstützt. Wenn Sie eine
Zelle konfigurieren, müssen Sie eine Benutzerregistry auswählen. Dies kann eine lokale oder ferne Registry sein. Folgende Benutzerregistrys
stehen zur Auswahl:
- SAF-basierte lokale Registry (Standard, wenn während der Anpassung ein z/OS-Sicherheitsprodukt für die Verwaltungssicherheit ausgewählt wird)
- Eigenständige LDAP-Registry (Lightweight Directory Access Protocol) - LDAP kann eine lokale oder ferne Registry sein.
- Eigenständige angepasste Benutzerregistry - Eine angepasste Benutzerregistry ist an eindeutige Anforderungen angepasst. WebSphere Application Server stellt ein einfaches Beispiel für eine Benutzerregistry (FileBasedRegistrySample) bereit.
- Eingebundene Repositorys (Standard, wenn während der Anpassung WebSphere Application Server für die Verwaltungssicherheit ausgewählt wird)
Wenn Sie Ressourcen schützen müssen, ist die Identifizierung derer, die auf diese Ressourcen zugreifen,
von entscheidender Bedeutung. Jedes Sicherheitssystem erfordert demzufolge die Identifizierung von Clients (Benutzern), die
als Authentifizierung bezeichnet wird. In einem von
WebSphere Application
Server for z/OS unterstützten
verteilten Netz können Clients von folgenden Systemen aus auf Ressourcen zugreifen:
- Systemen innerhalb desselben Systems wie ein Server
- Systemen innerhalb desselben Sysplex wie der Server
- fernen z/OS-Systemen
- heterogenen Systemen wie WebSphere Application Server auf verteilten Plattformen, CICS (Customer Information Control System) oder anderen Java EE-konformen (Java Platform, Enterprise Edition) Systemen
Darüber hinaus kann es erforderlich sein, dass ein Server die Serviceanforderung eines Clients an einen anderen Cluster weiterleitet. In diesen Fällen muss das System die Delegation und die Verfügbarkeit der Clientidentität für zwischengeschaltete Cluster und Zielcluster gewährleisten.
Wie stellen Sie in einem verteilten Netz sicher, dass Nachrichten vertraulich übergeben werden
und nicht manipuliert werden können? Wie können Sie sichergehen, dass Clients die sind, die sie behaupten zu sein? Wie
ordnen Sie z/OS-Identitäten Netzidentitäten zu? Für diese Fragestellungen bietet
WebSphere Application Server for z/OS die folgende Unterstützung:
- Verwendung von SSL (Secure Sockets Layer) und digitalen Zertifikaten
- Kerberos
- Common Secure Interoperability Version 2 (CSIV2)
- Simple and Protected Negotiation Mechanism (SPNEGO)
- Feature für die Zuordnung verteilter Identitäten in SAF