[z/OS]

Resumen de controles

Cada controlador, sirviente y cliente debe tener su propio ID de usuario de MVS. Cuando una solicitud fluye de un cliente al clúster o de un clúster a otro clúster, WebSphere Application Server para z/OS pasa la identidad de usuario (cliente o clúster) con la solicitud. Por lo tanto, cada solicitud se realiza en nombre de la identidad de usuario y el sistema comprueba si la identidad de usuario tiene autorización para realizar ese tipo de solicitud. En las tablas se describen las autorizaciones SAF (System Authorization Facility) y no SAF.

Resumen de los controles de seguridad de z/OS independientes del valor de seguridad administrativa

En una configuración de WebSphere Application Server para z/OS, existen varios tipos diferentes de procesos:
  • Gestores de despliegue
  • Agentes de nodo
  • Daemons de servicio de ubicación
  • Servidores de aplicaciones WebSphere
Cada uno de ellos se puede ver como un proceso de controlador de WebSphere Application Server para z/OS o como un par de procesos (controlador y servant).

Cada controlador y cada servant se deben ejecutar con un ID de usuario de MVS válido asignado como parte de la definición de una tarea iniciada. Este ID de usuario de MVS debe tener una identidad de usuario (UID) de servicios de sistemas UNIX válida y debe estar conectado a un grupo de configuración de WebSphere que sea común para todos los servidores de la célula con una identidad de grupo (GID) de servicios de sistemas MVS y UNIX válida.

En la siguiente tabla se resumen los controles que se utilizan para otorgar las autorizaciones que necesitan estos controladores y servants para acceder a los recursos del sistema operativo. Si sabe utilizar estos controles, puede controlar todos los accesos a los recursos en WebSphere Application Server para z/OS.
Tabla 1. Resumen de controles y autorizaciones SAF.

Esta tabla contiene un resumen de los controles y sus autorizaciones SAF.

Control Autorización
Clase DATASET Acceso a conjuntos de datos
Clase DSNR Acceso a Database 2 (DB2)
Clase FACILITY (BPX.WLMSERVER) Acceso al perfil BPX.WLMSERVER para realizar la gestión de enclaves WLM (Gestor de carga de trabajo) en el servant. Sin este acceso, no se realiza la clasificación.
Clase FACILITY (IMSXCF.OTMACI) Accesos a OTMA (Open Transaction Manager Access) de IMS (Information Management System), y acceso al perfil BPX.WLMSERVER
Permisos de archivos HFS Acceso a los archivos HFS (Sistema de archivos jerárquico)
Clase LOGSTRM Acceso a las corrientes de registro cronológico
Clase OPERCMDS Acceso al script de shell startServer.sh y a Integral JMSProvider
Clase SERVER Acceso de un servant al controlador
Clase STARTED ID de usuario asociado (y, de manera opcional, el ID de grupo) para iniciar un procedimiento
Clase SURROGAT (*.DFHEXCI) Acceso a EXCI para el acceso a CICS (Customer Information Control System)

La Herramienta de gestión de perfiles de WebSphere z/OS o el mandato zpmt y los trabajos de la personalización del servicio de control de acceso a recursos (RACF) configuran los valores iniciales del servidor para los perfiles *'ed.

Nota: En el archivo exec generado en HLQ.DATA(BBOWBRAC) puede encontrar ejemplos de autorizaciones para los otros perfiles. La selección de la identidad que se va a utilizar en la autorización para los recursos de conector nativo (CICS, DB2, IMS) depende de:
  • El tipo de conector
  • El valor de autenticación de recursos (resAuth) de la aplicación desplegada
  • La disponibilidad de un alias
  • Valor de seguridad
Los gestores de recursos como, por ejemplo, DB2, IMS y CICS han implementado sus propios controles de recursos, que controlan la capacidad de los clientes para acceder a los recursos. Cuando DB2 utiliza controles de recursos, utilice la clase DSNR RACF (si tiene soporte RACF) o emita las sentencias GRANT de DB2 correspondientes. Puede:
  • Acceder a OTMA para IMS utilizando la clase FACILITY (IMSXCF.OTMACI)
  • Acceder a EXCI para CICS utilizando la clase SURROGAT (*.DFHEXCI)
  • Controlar el acceso a los conjuntos de datos utilizando la clase DATASET y los archivos HFS mediante el permiso de archivo

Tenga en cuenta que la autorización MVS SAF a los demás recursos del subsistema MVS a los que acceden las aplicaciones J2EE se realiza normalmente utilizando la identidad del ID de usuario de MVS de servant. Consulte La identidad J2EE (Java Platform, Enterprise Edition) y una identidad de hebra de sistema operativo para obtener más información.

El perfil BPX.WLMSERVER en la clase FACILITY sirve para autorizar a un espacio de direcciones a utilizar los servicios de tiempo de ejecución LE (Language Environment) que intercambian información con WLM (Gestión de carga de trabajo) para realizar la gestión de carga de trabajo dentro de una región de servant. WebSphere Application Server utiliza estos servicios de tiempo de ejecución LE para extraer información de clasificación de los enclaves y gestionar la asociación del trabajo con un enclave. Como se utilizan interfaces no autorizadas para manipular los enclaves WLM del trabajo de región de servidor que no se ha pasado de un controlador a un servant, los servants de WebSphere Application Server deben tener acceso de LECTURA a este perfil. Sin este permiso, los intentos de crear, suprimir, unir o dejar un enclave WLM fallarán con una excepción java.lang.SecurityException.

Resumen de los controles de seguridad de z/OS en vigor, cuando están habilitadas la seguridad administrativa y de aplicaciones

Cuando la seguridad administrativa y la seguridad de la aplicación están habilitadas, SSL debe estar disponible para el cifrado y la protección de mensajes. Asimismo, están habilitadas la autenticación y la autorización de J2EE y los clientes de administración.

La autorización de clase FACILITY necesaria para los servicios SSL y la definición del conjunto de claves SAF son necesarias si se habilita la seguridad administrativa.

Cuando una solicitud fluye de un cliente a WebSphere Application Server o de un clúster a otro clúster, WebSphere Application Server para z/OS pasa la identidad de usuario (cliente o clúster) con la solicitud. Por lo tanto, cada solicitud se realiza en nombre de la identidad de usuario y el sistema comprueba si la identidad de usuario tiene autorización para realizar ese tipo de solicitud. En las tablas se describen autorizaciones específicas de z/OS que utilizan SAF.

En la siguiente tabla se resumen los controles que se utilizan para otorgar autorizaciones a los recursos. Si sabe utilizar estos controles, puede controlar el acceso a todos los recursos en WebSphere Application Server para z/OS.
Tabla 2. Resumen de controles y autorizaciones SAF.

Esta tabla contiene un resumen de los controles y sus autorizaciones SAF.

Control Autorización
Clase CBIND Acceso a un clúster
Clase EJBROLE o GEJBROLE Acceso a los métodos en enterprise beans
Clase FACILITY (IRR.DIGTCERT.LIST y IRR.DIGTCERT.LISTRING) Conjuntos de claves SSL, certificados y correlaciones
Clase FACILITY (IRR.RUSERMAP) Credenciales de Kerberos
Clase FACILITY (BBO.SYNC) Habilita el permiso de sincronización con la hebra de OS
Clase FACILITY (BBO.TRUSTEDAPPS) Habilita las aplicaciones de confianza
Clase SURROGAT (BBO.SYNC) Habilita el permiso de sincronización con la hebra de OS
Clase PTKTDATA Habilitación de pases en el sysplex
Establecer Identidad de hebra de OS como identidad RunAs Propiedad del clúster J2EE que se utiliza para habilitar la identidad de inicio para recursos no J2EE

Icon that indicates the type of topic Reference topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rsec_sumofcontrol
File name: rsec_sumofcontrol.html