[z/OS]

Dämon-SSL

Verwenden Sie die Anzeige der Administrationskonsole, um die Port- und SSL-Porteinstellungen zu ändern und die SSL-Einstellungen (SSL-Repertoire) anzugeben. Das Standardrepertoire ist wie das für den Server verwendete ein SystemSSL-IIOP-Repertoire. Während der Initialisierung des Dämons wird versucht, SSL zu initialisieren, sofern die Sicherheit aktiviert ist und ein gültiges Repertoire gefunden wurde. Wenn Sie den SSL-Port für den Dämon inaktivieren möchten, muss eine WebSphere-Variable auf Zellenebene (DAEMON_security_disable_daemon_ssl) erstellt und auf 1 gesetzt werden. Der Standardwert für diese Variable ist 0.

Die Kommunikation mit dem Location Service Daemon kann über SSL verschlüsselt werden, wenn folgende Bedingungen zutreffen:
  • Die Verwaltungssicherheit ist aktiviert.
  • Das SSL-Repertoire für den Dämon wird in der Administrationskonsole konfiguriert (das SSL-Repertoire für den Dämon bezieht sich auf einen gültigen RACF-Schlüsselring, dessen Eigner eine dem Dämonprozess zugeordnete MVS-Benutzer-ID ist).
  • Ein Zertifikat und ein Schlüsselring wurden definiert.
Klicken Sie in der Administrationskonsole auf Systemverwaltung > Knotengruppen > Name_der_Sysplex-Knotengruppe. Klicken Sie unter "Weitere Eigenschaften" auf den z/OS-Positionsservice.
Location Service Daemon

In dieser Anzeige werden die Konfigurationseinstellungen für den Location Service Daemon dieser Zelle festgelegt.  
An den Einstellungen vorgenommene Änderungen
wirken sich auf die gesamte Zelle und auf die Instanzen der LSD-Instanzen aller Knoten der Zelle aus.

Job Name          BBODMNC                           Gibt den z/OS-Jobname des Location
                                                    Service Daemon an.
Hostname          BOSSXXXX.PLEX1.L2.IBM.COM         Gibt den Hostnamen an, der bei der
                                                    Verbindung zum Location Service Daemon
                                                    verwendet werden soll.
Port              5755                              Gibt den Port an, an dem der Location Service Daemon
                                                    auf den Empfang nicht verschlüsselter Daten wartet.
SSL-Port          5756                              Gibt den Port an, an dem der Location Service Daemon
                                                    auf den Empfang verschlüsselter Daten wartet.
SSL-Einstellung   PLEX1Manager/DefaultIIOPSSL       Gibt eine Liste vordefinierter SSL-Einstellungen an,
                                                    die für Verbindungen ausgewählt werden können.
                                                    Diese Einstellungen werden in der Anzeige
                                                    "SSL-Repertoire" konfiguriert.
Die Protokolle SSL und TLS können im z/OS-Dämon mit den folgenden WebSphere-Variablen festgelegt werden. Mit dem Wert 1 für die Variable wird das Protokoll aktiviert, mit dem Wert 0 wird es inaktiviert.
DAEMON_com_ibm_DAEMON_protocol_TLSv1_enabled    //* default 1
DAEMON_com_ibm_DAEMON_protocol_TLSv1_1_enabled  //* default 0
DAEMON_com_ibm_DAEMON_protocol_TLSv1_2_enabled  //* default 0
                                                             
DAEMON_com_ibm_DAEMON_protocol_SSLv2_enabled    //* default 0
DAEMON_com_ibm_DAEMON_protocol_SSLv3_enabled    //* default 1
Sie können WebSphere z/OS Profile Management Tool oder den Befehl zpmt verwenden, um Authentifizierungsdaten anzugeben, einschließlich der Benutzer-ID des Dämons, der UID und des SSL-Ports. Der Schlüsselring für den Server (standardmäßig WASKeyring) wird mit generierten RACF-Befehlen erstellt. Der Schlüsselring für den Dämon und das Zertifikat werden mit dem z/OS Profile Management Tool oder mit dem Befehl zpmt generiert. Zum Generieren des Schlüsselrings und des Zertifikats für den Dämon mit z/OS Profile Management Tool wählen Sie "Sicherheit" aus und klicken dann auf Domäne > SSL-Anpassung > SSL im Location Service Daemon aktivieren. Wenn Sie nach dieser Option Y eingeben, werden die RACF-Befehle für folgende Schritte generiert:
  • Erstellung des Dämonschlüsselrings und des Zertifikats
  • Verbindung des Zertifikats und der CA-Zertifikate mit dem Schlüsselring
Wichtig: Diese Option steuert nicht die Verwendung von Dämon-SSL.
Diese Option ist angemessen, wenn die Benutzer-IDs identisch sind, aber der Dämon eine andere Benutzer-ID hat. Weitere Informationen finden Sie unter Schlüsselring für WebSphere Application Server for z/OS konfigurieren. Die ausgewählten Werte werden von der Administrationskonsole übernommen.

Wird der Dämonprozess einer MVS-Benutzer-ID zugeordnet, die einem geschützten WebSphere Application Server zugeordnet ist, kann der für den Schutz von WebSphere Application Server verwendete Schlüsselring auch zum Schutz von Dämonanforderungen verwendet werden. Wenn die MVS-Benutzer-ID, der der Dämonprozess zugeordnet ist, keinem geschützten WebSphere Application Server zugeordnet ist, sollten Sie Dämon-SSL ähnlich wie SSL für Ihren WebSphere Application Server konfigurieren. Ändern Sie die Befehle für die Anpassungsjobs, die Sie in BBOCBRAK (oder HLQ.DATA(BBODBRAK) in WebSphere Application Server Network Deployment) generiert haben, um die im Artikel Schlüsselring für WebSphere Application Server for z/OS konfigurieren beschriebenen Schritte auszuführen.


Symbol, das den Typ des Artikels anzeigt. Konzeptartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=csec_daemonssl
Dateiname:csec_daemonssl.html