![[z/OS]](../images/ngzos.gif)
Resumen de controles
Cada controlador, sirviente y cliente debe tener su propio ID de usuario de MVS. Cuando una solicitud fluye de un cliente al clúster o de un clúster a otro clúster, WebSphere Application Server para z/OS pasa la identidad de usuario (cliente o clúster) con la solicitud. Por lo tanto, cada solicitud se realiza en nombre de la identidad de usuario y el sistema comprueba si la identidad de usuario tiene autorización para realizar ese tipo de solicitud. En las tablas se describen las autorizaciones SAF (System Authorization Facility) y no SAF.
Resumen de los controles de seguridad de z/OS independientes del valor de seguridad administrativa
- Gestores de despliegue
- Agentes de nodo
- Daemons de servicio de ubicación
- Servidores de aplicaciones WebSphere
Cada controlador y cada servant se deben ejecutar con un ID de usuario de MVS válido asignado como parte de la definición de una tarea iniciada. Este ID de usuario de MVS debe tener una identidad de usuario (UID) de servicios de sistemas UNIX válida y debe estar conectado a un grupo de configuración de WebSphere que sea común para todos los servidores de la célula con una identidad de grupo (GID) de servicios de sistemas MVS y UNIX válida.
Control | Autorización |
---|---|
Clase DATASET | Acceso a conjuntos de datos |
Clase DSNR | Acceso a Database 2 (DB2) |
Clase FACILITY (BPX.WLMSERVER) | Acceso al perfil BPX.WLMSERVER para realizar la gestión de enclaves WLM (Gestor de carga de trabajo) en el servant. Sin este acceso, no se realiza la clasificación. |
Clase FACILITY (IMSXCF.OTMACI) | Accesos a OTMA (Open Transaction Manager Access) de IMS (Information Management System), y acceso al perfil BPX.WLMSERVER |
Permisos de archivos HFS | Acceso a los archivos HFS (Sistema de archivos jerárquico) |
Clase LOGSTRM | Acceso a las corrientes de registro cronológico |
Clase OPERCMDS | Acceso al script de shell startServer.sh y a Integral JMSProvider |
Clase SERVER | Acceso de un servant al controlador |
Clase STARTED | ID de usuario asociado (y, de manera opcional, el ID de grupo) para iniciar un procedimiento |
Clase SURROGAT (*.DFHEXCI) | Acceso a EXCI para el acceso a CICS (Customer Information Control System) |
La Herramienta de gestión de perfiles de WebSphere z/OS o el mandato zpmt y los trabajos de la personalización del servicio de control de acceso a recursos (RACF) configuran los valores iniciales del servidor para los perfiles *'ed.
- El tipo de conector
- El valor de autenticación de recursos (resAuth) de la aplicación desplegada
- La disponibilidad de un alias
- Valor de seguridad
- Acceder a OTMA para IMS utilizando la clase FACILITY (IMSXCF.OTMACI)
- Acceder a EXCI para CICS utilizando la clase SURROGAT (*.DFHEXCI)
- Controlar el acceso a los conjuntos de datos utilizando la clase DATASET y los archivos HFS mediante el permiso de archivo
Tenga en cuenta que la autorización MVS SAF a los demás recursos del subsistema MVS a los que acceden las aplicaciones J2EE se realiza normalmente utilizando la identidad del ID de usuario de MVS de servant. Consulte La identidad J2EE (Java Platform, Enterprise Edition) y una identidad de hebra de sistema operativo para obtener más información.
El perfil BPX.WLMSERVER en la clase FACILITY sirve para autorizar a un espacio de direcciones a utilizar los servicios de tiempo de ejecución LE (Language Environment) que intercambian información con WLM (Gestión de carga de trabajo) para realizar la gestión de carga de trabajo dentro de una región de servant. WebSphere Application Server utiliza estos servicios de tiempo de ejecución LE para extraer información de clasificación de los enclaves y gestionar la asociación del trabajo con un enclave. Como se utilizan interfaces no autorizadas para manipular los enclaves WLM del trabajo de región de servidor que no se ha pasado de un controlador a un servant, los servants de WebSphere Application Server deben tener acceso de LECTURA a este perfil. Sin este permiso, los intentos de crear, suprimir, unir o dejar un enclave WLM fallarán con una excepción java.lang.SecurityException.
Resumen de los controles de seguridad de z/OS en vigor, cuando están habilitadas la seguridad administrativa y de aplicaciones
Cuando la seguridad administrativa y la seguridad de la aplicación están habilitadas, SSL debe estar disponible para el cifrado y la protección de mensajes. Asimismo, están habilitadas la autenticación y la autorización de J2EE y los clientes de administración.
La autorización de clase FACILITY necesaria para los servicios SSL y la definición del conjunto de claves SAF son necesarias si se habilita la seguridad administrativa.
Cuando una solicitud fluye de un cliente a WebSphere Application Server o de un clúster a otro clúster, WebSphere Application Server para z/OS pasa la identidad de usuario (cliente o clúster) con la solicitud. Por lo tanto, cada solicitud se realiza en nombre de la identidad de usuario y el sistema comprueba si la identidad de usuario tiene autorización para realizar ese tipo de solicitud. En las tablas se describen autorizaciones específicas de z/OS que utilizan SAF.
Control | Autorización |
---|---|
Clase CBIND | Acceso a un clúster |
Clase EJBROLE o GEJBROLE | Acceso a los métodos en enterprise beans |
Clase FACILITY (IRR.DIGTCERT.LIST y IRR.DIGTCERT.LISTRING) | Conjuntos de claves SSL, certificados y correlaciones |
Clase FACILITY (IRR.RUSERMAP) | Credenciales de Kerberos |
Clase FACILITY (BBO.SYNC) | Habilita el permiso de sincronización con la hebra de OS |
Clase FACILITY (BBO.TRUSTEDAPPS) | Habilita las aplicaciones de confianza |
Clase SURROGAT (BBO.SYNC) | Habilita el permiso de sincronización con la hebra de OS |
Clase PTKTDATA | Habilitación de pases en el sysplex |
Establecer Identidad de hebra de OS como identidad RunAs | Propiedad del clúster J2EE que se utiliza para habilitar la identidad de inicio para recursos no J2EE |