[z/OS]

Sugerencias de Resource Access Control Facility para personalizar WebSphere Application Server

Es importante entender los mecanismos de seguridad que se utilizan para proteger los recursos de servidor que utilizan las clases CBIND, SERVER y STARTED en RACF (o su producto de seguridad). En este artículo se describen estos mecanismos junto con algunas técnicas para gestionar el entorno de seguridad.

Los detalles sobre los perfiles RACF que se utilizan para proteger los recursos y los servidores WebSphere utilizan las clases siguientes:
  • CBIND: Acceder a los servidores y acceder a los objetos en los servidores
  • SERVER: Acceder a regiones de controlador desde regiones de servant
  • STARTED: Asociar ID de usuario y grupos con los procedimientos iniciados (STC)

Debe añadir los permisos y los perfiles RACF necesarios para otro servidor de la célula.

Puede definir el conjunto mínimo de usuarios, grupos y perfiles para el entorno de prueba (donde la seguridad de los servidores individuales no es el principal objetivo o interés).

Los perfiles RACF (CBIND, SERVER, y STARTED): información básica sobre los perfiles RACF que utiliza WebSphere se pueden encontrar en Clases y perfiles de System Authorization Facility. Esta sección añade información adicional sobre los perfiles de las clases CBIND, SERVER y STARTED.

ID de usuario e ID de grupo: Como parte de la utilización de la herramienta de gestión de perfiles WebSphere z/OS o el mandato zpmt, el trabajo BBOCBRAK genera mandatos RACF que, posteriormente, pueden ejecutarse con el trabajo BBOWBRAK. Clave:
CR = Región de
controlador
SR = Región sirviente
CFG = Configuración (grupo)
server = nombre abreviado de servidor
clúster = nombre (abreviado) de servidor genérico (también denominado nombre de
transición del clúster)
En primer lugar, se definen seis usuarios y seis grupos, que se muestran simbólicamente para ilustrar cómo se utilizan posteriormente en los distintos permisos:
<CR_userid> <CR_groupid>, <CFG_groupid>
<SR_userid> <SR_groupid>, <CFG_groupid>
<demn_userid> <demn_groupid>, <CFG_groupid>
<admin_userid> <CFG_groupid>
<client_userid> <client_groupid>
<ctracewtr_userid> <ctracewtr_groupid>

A continuación se describen los distintos perfiles utilizados para proteger los servidores y los recursos de WebSphere, junto con los permisos y los niveles de acceso.

Perfiles de clase CBIND: Hay dos formatos y niveles de los perfiles de la clase CBIND para proteger el acceso a los servidores de aplicaciones y a los objetos en dichos servidores:
Perfiles de la clase CBIND - acceso a servidores
genéricos
CB.BIND.<cluster> UACC(READ); PERMIT <CR_group> ACC(CONTROL)

Perfiles de la clase CBIND - acceso a objetos en servidores 
CB.<cluster> UACC(READ) PERMIT <CR_group> ACC(CONTROL)

Perfiles de clase SERVER: Actualmente hay dos formatos de los perfiles de la clase SERVER para proteger el acceso a las regiones de controlador de servidor. Debe definir un perfil SERVER de formato único, dependiendo de si está habilitado o no el soporte DAE (Dynamic Application Environment). Para ello, utilice WLM DAE APAR OW54622, que se puede aplicar en z/OS V1R2 o superior.

En la herramienta de gestión de perfiles WebSphere z/OS o el mandato zpmt, ambos formatos están predefinidos, y uno de ellos es necesario en el tiempo de ejecución. El tiempo de ejecución de WebSphere Application Server para z/OS determina dinámicamente el formato necesario según la disponibilidad del soporte DAE (Dynamic Application Environment).
  • El siguiente mandato proporciona acceso a los controladores utilizando Entornos de aplicación estáticos (sin soporte APAR): RDEFINE CB.&<servidor>.&<clúster> UACC(NONE); PERMIT &<SR_IDusuario> ACC(READ) Para este ejemplo, servidor = nombre del servidor, clúster = nombre del clúster o nombre de transición del clúster si todavía no se ha creado un clúster y SR = el ID de usuario de MVS de la región de servidor.
  • El siguiente mandato proporciona acceso a los controladores utilizando Entornos de aplicación dinámicos (con el soporte WLM DAE APAR): CB.&<servidor>.&<clúster>;.<célula> UACC(NONE); PERMIT &<SR_IDusuario> ACC(READ) Para este ejemplo, servidor = nombre de servidor, clúster = nombre de clúster o nombre de transición de clúster si todavía no se ha creado ningún clúster, célula = nombre abreviado de la célula, y SR = el ID de usuario de MVS de la región de servidor.
Perfiles de clase STARTED: Se utilizan dos formatos de los perfiles de la clase STARTED para asignar ID de usuario y grupo a las regiones de controlador y otros STC según si la tarea iniciada se inicia o no con la interfaz MGCRE o la interfaz ASCRE de creación de espacios de direcciones que utiliza WLM (Workload Manager) para iniciar regiones de servant:
Perfiles de la clase STARTED -
(MGCRE)
<<CR_proc>.<CR_jobname> STDATA(USER(CR_userid) GROUP(CFG_groupid))
<demn_proc>.* STDATA(USER(demn_userid) GROUP(CFG_groupid))

Perfiles de la clase STARTED - (ASCRE)
<SR_jobname>.<SR_jobname> STDATA(USER(SR_userid) GROUP(CFG_groupid))

Perfiles de la clase STARTED para IJP - (MGCRE)
<MQ_ssname>.* STDATA(USER(IJP_userid) GROUP(CFG_groupid))

Generación de nuevos ID de usuario y perfiles para un nuevo servidor: Si desea utilizar ID de usuario únicos para cada nuevo servidor de aplicaciones, debe definir esos usuarios, grupos y perfiles en la base de datos RACF.

Una técnica es editar una copia del miembro BBOWBRAK mediante la herramienta de gestión de perfiles WebSphere z/OS o el mandato zpmt, el conjunto de datos particionados .DATA, y cambiar las siguientes entradas con los valores de los nuevos usuarios, grupos y perfiles de nombre New_server y New_cluster exclusivos:
  • Si desea unos ID de usuario exclusivos para los nuevos servidores, defina tres nuevos usuarios y conéctelos a los siguientes grupos:
    <New_CR_userid> <CR_groupid>, <CFG_groupid><New_SR_userid> <SR_groupid>, <CFG_groupid><New_client_userid> <client_groupid>
  • Perfiles de la clase CBIND para el nuevo clúster (nombre abreviado del servidor genérico):
    CB.BIND.<New_cluster>CB.<New_cluster>
  • Perfiles de la clase SERVER para el nuevo servidor y clúster:
    CB.<New_server>.<New_cluster>CB.<New_server>.<New_cluster>.<cell>
  • Perfiles de la clase STARTED para las nuevas regiones de servant y controlador del servidor:
    <CR_proc>.<New_CR_jobname> STDATA(USER(New_CR_userid)
                                            GROUP(id_grupo_CFG))
    <New_SR_jobname>.* STDATA(USER(New_SR_userid) GROUP(CFG_groupid))
Perfiles minimalistas: Para minimizar el número de usuarios, grupos y perfiles en el conjunto de datos RACF, puede utilizar un ID de usuario, un ID de grupo y muchos perfiles genéricos que conviertan múltiples servidores en la misma célula. A continuación se proporciona un ejemplo de perfiles con un usuario (T5USR), un grupo (T5GRP) y un conjunto de servidores en T5CELL que tienen nombres abreviados de servidores que empiezan por T5SRV* y nombres de servidores genéricos que empiezan por T5CL*. Esta técnica también se puede utilizar con configuraciones IJP (Integral JMS Provider) y ND (WebSphere Application Server, Network Deployment).
/* Perfiles de la clase CBIND (UACC) -
acceso a servidores genéricos */
CB.BIND.T5CL* UACC(READ); PERMIT ID(T5GRP) ACC(CONTROL)

/* Perfiles de la clase CBIND (UACC) - acceso a objetos en servidores */
CB.T5CL* UACC(READ); PERMIT ID(T5GRP) ACC(CONTROL)

/* Perfiles de la clase SERVER - acceso a controladores (estilo antiguo) */
CB.*.T5CL* UACC(NONE); PERMIT ID(T5USR) ACC(READ)

/* Perfiles de la clase SERVER - acceso a controladores (nuevo estilo) */
CB.*.*.T5CELL UACC(NONE); PERMIT ID(T5USR) ACC(READ)

/* Perfiles de la clase STARTED - (MGCRE) - para STC, excepto servants */
T5ACR.* STDATA(USER(T5USR) GROUP(T5GRP)) /* controlador*/
T5DMN.* STDATA(USER(T5USR) GROUP(T5GRP)) /* daemon */
T5CTRW.* STDATA(USER(T5USR) GROUP(T5GRP)) /* CTrace WTR*/
WMQX*.* STDATA(USER(T5USR) GROUP(T5GRP)) /* IJP */

/* Perfiles de la clase STARTED - (ASCRE - para servants) */
T5SRV*.* STDATA(USER(T5USR) GROUP(T5GRP)) /* sirviente */

Icon that indicates the type of topic Concept topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=csec_racftips
File name: csec_racftips.html