[z/OS]

Tipps zur Verwendung von RACF (Resource Access Control Facility) für die Anpassung von WebSphere Application Server

Es ist wichtig, die Sicherheitsmechanismen zu verstehen, die zum Schutz der Serverressourcen mit den Klassen CBIND, SERVER und STARTED in RACF (oder in Ihrem Sicherheitsprodukt) verwendet werden. Dieser Artikel beschreibt die Mechanismen zusammen mit einigen Verfahren für die Verwaltung der Sicherheitsumgebung.

Nachfolgend finden Sie ausführliche Informationen zu den RACF-Profilen, die zum Schutz der WebSphere-Server und -Ressourcen verwendet werden. Dabei kommen die folgenden Klassen zum Einsatz:
  • CBIND: Zugriff auf Server und Serverobjekte
  • SERVER: Zugriff auf Controllerregionen durch Servantregionen
  • STARTED: Zuordnung von Benutzer-IDs und -gruppen zu gestarteten Prozeduren (Started Procedures, STCs)

Sie müssen die erforderlichen RACF-Profile und -Berechtigungen für einen anderen Server in Ihrer Zelle hinzufügen.

Sie können die Mindestmenge an Benutzern, Gruppen und Profilen für eine Testumgebung definieren (in der die Sicherheit einzelner Server nicht das Hauptanliegen ist).

RACF-Profile (CBIND, SERVER und STARTED): Grundlegende Informationen zu den RACF-Profilen, die von WebSphere verwendet werden, finden Sie im Artikel SAF-Klassen und -Profile. Dieser Artikel enthält weitere Informationen zu den Klassenprofilen CBIND, SERVER, und STARTED.

Benutzer-IDs und Gruppen-IDs: Wenn Sie WebSphere z/OS Profile Management Tool oder den Befehl zpmt verwenden, generiert der Job BBOCBRAK RACF-Befehle, die mit dem Job BBOWBRAK ausgeführt werden können. Schlüssel:
CR = Controllerregion
SR = Servantregion
CFG = Konfiguration (Gruppe)
Server = Kurzname des Server
Cluster = Name (Kurzname) des generischen Servers (auch Cluster-Übergangsname genannt)
Zuerst werden sechs Benutzer und sechs Benutzergruppen definiert. Sie werden symbolisch dargestellt, damit Sie besser verstehen, wie sie unten in den verschiedenen Berechtigungen verwendet werden:
<CR-Benutzer-ID> <CR-Gruppen-ID>, <CFG-Gruppen-ID>
<SR-Benutzer-ID> <SR-Gruppen-ID>, <CFG-Gruppen-ID>
<demn-Benutzer-ID> <demn-Gruppen-ID>, <CFG-Gruppen-ID>
<admin-Benutzer-ID> <CFG-Gruppen-ID>
<Client-Benutzer-ID> <Client-Gruppen-ID>
<ctracewtr-Benutzer-ID> <ctracewtr-Gruppen-ID>

Nachfolgend sind verschiedene Profile, die zum Schutz der WebSphere-Server und -Ressourcen verwendet werden, mit den entsprechenden Berechtigungen und Zugriffsebenen aufgeführt.

CBIND-Klassenprofile - Es gibt zwei Formate und Ebenen von CBIND-Klassenprofilen, mit denen der Zugriff auf Anwendungsserver und den darauf befindlichen Objekten geschützt wird:
CBIND-Klassenprofile - Zugriff auf
generische Server
CB.BIND.<Cluster> UACC(READ); PERMIT <CR-Gruppe> ACC(CONTROL)

CBIND-Klassenprofile - Zugriffe auf Serverobjekte
CB.<Cluster> UACC(READ) PERMIT <CR-Gruppe> ACC(CONTROL)

SERVER-Klassenprofile - Es gibt gegenwärtig zwei Formate der SERVER-Klassenprofile, mit denen der Zugriff auf die Server-Controller-Regionen geschützt wird: Sie müssen ein SERVER-Profil mit einem einzelnen Format definieren. Der Profiltyp hängt davon ab, ob die DAE-Unterstützung (Dynamic Application Environment) aktiviert ist. Dazu müssen Sie das WLM DAE APAR OW54622 anlegen, das Sie ab z/OS Version 1 Release 2 verwenden können.

Im WebSphere z/OS Profile Management Tool oder im Befehl "zpmt" sind beide Formate vordefiniert, eines davon ist zur Laufzeit erforderlich. Das erforderliche Format wird von der Laufzeitumgebung von WebSphere Application Server for z/OS dynamisch bestimmt. Der Formattyp hängt davon ab, ob die DAE-Unterstützung (Dynamic Application Environment) verfügbar ist.
  • Der folgende Befehl ermöglicht den Zugriff auf Controller mit statischen Anwendungsumgebungen (ohne die APAR-Unterstützung): RDEFINE CB.&<Server>.&<Cluster> UACC(NONE); PERMIT &<SR-Benutzer-ID> ACC(READ). Für dieses Beispiel gilt Folgendes: Server = Servername, Cluster = Clustername oder Clusterübergangsname, falls noch kein Cluster erstellt wurde, und SR = MVS-Benutzer-ID der Serverregion.
  • Der folgende Befehl ermöglicht den Zugriff auf Controller mit dynamischen Anwendungsumgebungen (mit der WLM-DAE-APAR-Unterstützung): CB.&<Server>.&<Cluster>.<Zelle> UACC(NONE); PERMIT &<SR-Benutzer-ID> ACC(READ). Für dieses Beispiel gilt Folgendes: Server = Servername, Cluster = Clustername oder Clusterübergangsname, falls noch kein Cluster erstellt wurde, Zelle = Kurzname der Zelle und SR = MVS-Benutzer-ID der Serverregion.
STARTED-Klassenprofile - Es gibt zwei Formate der STARTED-Klassenprofile, die verwendet werden, um Benutzer- und Gruppen-IDs Controllerregionen und anderen STCs zuzuordnen. Der Formattyp hängt davon ab, ob die Task mit der Schnittstelle MGCRE gestartet wird oder mit der Schnittstelle ASCRE (Address Space Create), das von WLM zum Starten von Servantregionen verwendet wird:
STARTED-Klassenprofile - (MGCRE)
<<CR-Prozedur>.<CR-Jobname> STDATA(USER(CR-Benutzer-ID) GROUP(CFG-Gruppen-ID))
<demn-Prozedur>.* STDATA(USER(demn-Benutzer-ID) GROUP(CFG-Gruppen-ID))

STARTED-Klassenprofile - (ASCRE)
<SR-Jobname>.<SR-Jobname> STDATA(USER(SR-Benutzer-ID) GROUP(CFG-Gruppen-ID))

STARTED-Klassenprofile für IJP - (MGCRE)
<MQ-SSName>.* STDATA(USER(IJP-Benutzer-ID) GROUP(CFG-Gruppen-ID))

Neue Benutzer-IDs und Profile für einen neuen Server generieren: Wenn Sie für jeden neuen Anwendungsserver eindeutige Benutzer-IDs verwenden möchten, müssen Sie diese Benutzer, Gruppen und Profile in der RACF-Datenbank definieren.

Ein Verfahren besteht darin, eine Kopie des Members BBOWBRAK der partitionierten Datei .DATA mit dem WebSphere z/OS Profile Management Tool oder mit dem Befehl "zpmt" zu editieren und in den folgenden Einträgen die neuen Benutzer, Gruppen und eindeutigen Namensprofile Neuer_Server und Neuer_Cluster anzugeben.
  • Wenn eindeutige Benutzer-IDs für die neuen Server benötigt werden, müssen Sie drei neue Benutzer definieren und den folgenden Gruppen zuordnen:
    <Neue_CR-Benutzer-ID> <CR-Gruppen-ID>, <CFG-Gruppen-ID><Neue_SR-Benutzer-ID> <SR-Gruppen-ID>, <CFG-Gruppen-ID><Neue_Client-Benutzer-ID> <Client-Gruppen-ID>
  • CBIND-Klassenprofile für den neuen Cluster (Kurzname des generischen Servers):
    CB.BIND.<neuer_Cluster>CB.<neuer_Cluster>
  • SERVER-Klassenprofile für den neuen Server und Cluster:
    CB.<neuer_Server>.<neuer_Cluster>CB.<neuer_Server>.<neuer_Cluster>.<Zelle>
  • STARTED-Klassenprofile für die Controllerregion und die Servantregion des neuen Servers:
    <CR-Prozedur>.<neuer_CR-Jobname> STDATA(USER(neue_CR-Benutzer-ID)
                                            GROUP(CFG-Gruppen-ID))
    <Neuer_SR-Jobname>.* STDATA(USER(neue_SR-Benutzer-ID) GROUP(CFG-Gruppen-ID))
Minimalprofile: Wenn Sie die Anzahl der Benutzer, Gruppen und Profile in den RACF-Daten verringern möchten, können Sie eine Benutzer-ID, eine Gruppen-ID und sehr generische Profile verwenden, damit mehrere Server in derselben Zelle abgedeckt werden. Nachfolgend ein Beispiel für Profile mit einer Benutzer-ID (T5USR), einer Gruppe (T5GRP) und einer Servergruppe in T5CELL. Verwendet werden Kurznamen von Servern, die mit T5SRV* beginnen, und Namen generischer Server, die mit T5CL* beginnen. Dieses Verfahren kann auch mit IJP-Konfigurationen (Integral JMS Provider) und Konfigurationen von WebSphere Application Server Network Deployment genutzt werden.
/* CBIND-Klassenprofile
(UACC) - Zugriff auf generische Server */
CB.BIND.T5CL* UACC(READ); PERMIT ID(T5GRP) ACC(CONTROL)

/* CBIND-Klassenprofile (UACC) - Zugriff auf Serverobjekte */
CB.T5CL* UACC(READ); PERMIT ID(T5GRP) ACC(CONTROL)

/* SERVER-Klassenprofile - Zugriff auf Controller (alte Methode) */
CB.*.T5CL* UACC(NONE); PERMIT ID(T5USR) ACC(READ)

/* SERVER-Klassenprofile - Zugriff auf Controller (neue Methode) */
CB.*.*.T5CELL UACC(NONE); PERMIT ID(T5USR) ACC(READ)

/* STARTED-Klassenprofile - (MGCRE) - für STCs, mit Ausnahme von Servants */
T5ACR.* STDATA(USER(T5USR) GROUP(T5GRP)) /* controller*/
T5DMN.* STDATA(USER(T5USR) GROUP(T5GRP)) /* daemon */
T5CTRW.* STDATA(USER(T5USR) GROUP(T5GRP)) /* CTrace WTR*/
WMQX*.* STDATA(USER(T5USR) GROUP(T5GRP)) /* IJP */

/* STARTED-Klassenprofile - (ASCRE - für Servants) */
T5SRV*.* STDATA(USER(T5USR) GROUP(T5GRP)) /* servant */

Symbol, das den Typ des Artikels anzeigt. Konzeptartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=csec_racftips
Dateiname:csec_racftips.html