[z/OS]

Los prefijos de perfil SAF y los trabajos de personalización

Puede configurar un prefijo de perfil SAF (System Authorization Facility) (anteriormente referido como dominio de seguridadz/OS) mediante la herramienta de gestión de perfiles z/OS.

Un prefijo de perfil SAF permite que una instalación añada un prefijo a los perfiles SAF que representan sus roles. Por ejemplo, una instalación puede definir la clase EJBRole de SAF y un perfil SAF de myprefix.administrator. Un prefijo de perfil SAF se puede definir para toda la célula o puede definirse para la granularidad de permisos de seguridad a nivel de dominio de seguridad de WebSphere. Los prefijos de perfil SAF:
  • Proporcionan granularidad de roles a nivel de dominio de seguridad de WebSphere
  • Permiten que se asignen distintos administradores para la prueba y la producción
  • Se utilizan como perfil APPL para servidores del dominio de seguridad de WebSphere

Puede configurar un prefijo de perfil SAF utilizando la herramienta de gestión de perfiles de z/OS para personalizar sus valores o en el panel de opciones de autorización de SAF de la consola administrativa. Esto proporciona un nuevo conjunto de ejemplos de trabajos de personalización RACF (Resource Access Control Facility) que sólo deben ejecutarse una vez cuando se haya creado el dominio.

Los perfiles RACF que se crean y se comprueban de forma diferente debido a ello son los siguientes:
  • CBIND
  • EJBROLE
  • APPL
Utilice perfiles CBIND para restringir el acceso a los servidores si no se ha establecido ningún otro perfil específico. Si no hay ningún prefijo de perfil SAF, entre los siguientes mandatos RACF:
/*  Perfiles CBIND en caso no haber establecido una definición de servidor         */
"RDEFINE CBIND CB.BIND.* UACC(NONE)"  
"RDEFINE CBIND CB.* UACC(NONE)"
Si hay un prefijo de perfil SAF definido como TESTSYS, entre:
/*  CBIND CB.BIND.domain_name. */
"RDEFINE CBIND CB.BIND.TESTSYS.* UACC(NONE)"  
"RDEFINE CBIND CB.TESTSYS.* UACC(NONE)"

Utilice un perfil APPL para proteger WebSphere Application Server para z/OS. Los perfiles de ejemplo pueden otorgar un cierto nivel de acceso APPL a todos si utiliza la autorización de acceso universal, UACC, y pueden otorgar acceso al grupo de configuración, a los ID de usuario no autenticados y a todos los ID de usuario válidos de WebSphere Application Server para z/OS. UACC(NONE) proporcionará un acceso predeterminado de NONE a todos. Puede controlar se utiliza si el perfil de la clase APPL para la autorización, estableciendo el recuadro de selección etiquetado "Utilizar el perfil APPL para limitar el acceso al servidor" en el panel de opciones de la autorización SAF de la consola administrativa.

Por ejemplo, si no hay ningún prefijo de perfil SAF, entre los siguientes mandatos RACF:
RDEFINE APPL CBS390 UACC(NONE)
PERMIT CBS390 CLASS(APPL) ID(TSCLGP) ACCESS(READ)
Y si hay un prefijo de perfil SAF definido como TESTSYS, por ejemplo, entre:
RDEFINE APPL TESTSYS UACC(NONE)
PERMIT TESTSYS CLASS(APPL) ID(TSCLGP) ACCESS(READ)

Los siguientes perfiles EJBROLE se definen para las comprobaciones de autorización basada en roles si no hay ningún prefijo de perfil SAF y el grupo de configuración está definido como TSTCFG. Tenga en cuenta que estos son el conjunto mínimo de usuarios que necesitan acceso a roles administrativos y de denominación cuando se selecciona la autorización SAF (System authorization Facility).

Se deben definir los siguientes roles para la seguridad de aplicación y de sistema operativo. Entre los siguientes mandatos RACF:
RDEFINE EJBROLE administrator UACC(NONE)
RDEFINE EJBROLE monitor       UACC(NONE)
RDEFINE EJBROLE configurator UACC(NONE)
RDEFINE EJBROLE  operator     UACC(NONE)
RDEFINE EJBROLE  deployer     UACC(NONE)
RDEFINE EJBROLE  adminsecuritymanager     UACC(NONE)
RDEFINE EJBROLE  auditor      UACC(NONE)

PERMIT administrator  CLASS(EJBROLE)  ID(TSTCFG) ACCESS(READ)
PERMIT auditor                    CLASS(EJBROLE)  ID(TSTCFG) ACCESS(READ)
PERMIT adminsecuritymanager       CLASS(EJBROLE)  ID(TSTCFG) ACCESS(READ)

/* Configurar perfiles EJBRoles para roles de nombres                        */
RDEFINE EJBROLE CosNamingRead   UACC(NONE)
PERMIT CosNamingRead  CLASS(EJBROLE)  ID(TSGUEST) ACCESS(READ)
RDEFINE EJBROLE CosNamingWrite  UACC(NONE)
PERMIT CosNamingWrite  CLASS(EJBROLE)  ID(TSGUEST) ACCESS(READ)
RDEFINE EJBROLE CosNamingCreate UACC(NONE)
PERMIT CosNamingCreate  CLASS(EJBROLE)  ID(TSGUEST) ACCESS(READ)
RDEFINE EJBROLE CosNamingDelete UACC(NONE)
PERMIT CosNamingDelete  CLASS(EJBROLE)  ID(TSGUEST) ACCESS(READ)
Si hay un prefijo de perfil SAF definido como TESTSYS y el grupo de configuración está definido como TSTCFG, entre los siguientes mandatos RACF:
RDEFINE EJBROLE TESTSYS.administrator UACC(NONE)
RDEFINE EJBROLE TESTSYS.monitor       UACC(NONE)
RDEFINE EJBROLE TESTSYS.configurator UACC(NONE)
RDEFINE EJBROLE TESTSYS.operator     UACC(NONE)
RDEFINE EJBROLE TESTSYS.deployer     UACC(NONE)
RDEFINE EJBROLE TESTSYS.adminsecuritymanager     UACC(NONE)
RDEFINE EJBROLE TESTSYS.auditor      UACC(NONE)

PERMIT TESTSYS.administrator  CLASS(EJBROLE)  ID(TSTCFG) ACCESS(READ)
PERMIT TESTSYS.auditor        CLASS(EJBROLE)  ID(TSTCFG) ACCESS(READ)
PERMIT TESTSYS.adminsecuritymanager        CLASS(EJBROLE)  ID(TSTCFG) ACCESS(READ)

/* Configurar perfiles EJBRoles para roles de nombres                        */
RDEFINE EJBROLE TESTSYS.CosNamingRead   UACC(NONE)
PERMIT TESTSYS.CosNamingRead  CLASS(EJBROLE)  ID(TSGUEST) ACCESS(READ)
RDEFINE EJBROLE TESTSYS.CosNamingWrite  UACC(NONE)
PERMIT TESTSYS.CosNamingWrite  CLASS(EJBROLE)  ID(TSGUEST) ACCESS(READ)
RDEFINE EJBROLE TESTSYS.CosNamingCreate UACC(NONE)
PERMIT TESTSYS.CosNamingCreate  CLASS(EJBROLE)  ID(TSGUEST) ACCESS(READ)
RDEFINE EJBROLE TESTSYS.CosNamingDelete UACC(NONE)
PERMIT TESTSYS.CosNamingDelete  CLASS(EJBROLE)  ID(TSGUEST) ACCESS(READ)

Definiciones de perfiles CBIND para servidores

Si no hay ningún prefijo de perfil SAF, entre los siguientes mandatos RACF:
RDEFINE CBIND CB.BIND.BBO* UACC(NONE)
RDEFINE CBIND CB.BIND.TSTC001 UACC(NONE)
PERMIT CB.BIND.BBO* CLASS(CBIND) ID(TSTCFG) ACCESS(CONTROL)
PERMIT CB.BIND.TSTC001 CLASS(CBIND) ID(TSTCFG) ACCESS(CONTROL)
RDEFINE CBIND CB.BBO* UACC(NONE)
RDEFINE CBIND CB.TSTC001 UACC(NONE)
Si hay un prefijo de perfil SAF definido como TESTSYS, entre:
RDEFINE CBIND CB.BIND.TESTSYS.BBO* UACC(NONE)
RDEFINE CBIND CB.BIND.TESTSYS.TSTC001 UACC(NONE)
PERMIT CB.BIND.TESTSYS.BBO* CLASS(CBIND) ID(TSTCFG) ACCESS(CONTROL)
PERMIT CB.BIND.TESTSYS.TSTC001 CLASS(CBIND) ID(TSTCFG) ACCESS(CONTROL)
RDEFINE CBIND CB.TESTSYS.BBO* UACC(NONE)
RDEFINE CBIND CB.TESTSYS.TSTC001 UACC(NONE)
Nota:
  • Si desea crear un nuevo servidor específico que tenga un nombre de trabajo que empiece con un prefijo distinto de BBO*, defina un perfil CBIND específico entrando los siguientes mandatos RACF:
    RDEFINE CBIND CB.BIND.TSTC002 UACC(NONE)
    PERMIT CB.BIND.TSTC002 CLASS(CBIND) ID(TSTCFG) ACCESS(CONTROL)
    RDEFINE CBIND CB.TSTC002 UACC(NONE)
  • Los ejemplos crean definiciones de servidor con nombres de servidor específicos (pero un perfil genérico con un prefijo de servidor BBO). Si ha creado un prefijo de servidor alternativo y desea evitar las definiciones de CBIND adicionales, añada perfiles CBIND genéricos que reflejen el nuevo nombre. Para ello, entre los siguientes mandatos RACF , donde TST es el prefijo del nombre de trabajo del servidor:
    RDEFINE CBIND CB.BIND.TESTSYS.TST* UACC(NONE)
    PERMIT CB.BIND.TESTSYS.TST* CLASS(CBIND) ID(TSTCFG) ACCESS(CONTROL)
    RDEFINE CBIND CB.TESTSYS.TST* UACC(NONE)
Nota:
  • Aunque el prefijo de perfil SAF separa las clases RACF (CBIND, EJBROLE, APPL), no separa los permisos de archivo de los archivos de configuración del sistema jerárquico de archivos (HFS). Por ejemplo, si:
    • El administrador es WSADMIN en el grupo WSCFG
    • La identidad de región sirviente es WASSRV (que también debe pertenecer al grupo WSCFG)
    • El usuario TOM tiene acceso READ en el EJBROLE TEST.administrator pero no en el EJBROLE PROD.administrator,
    TOM no puede utilizar la aplicación de administrador para realizar cambios en la célula PROD.
  • Una aplicación intrusa que se ejecute en el servidor de aplicaciones TEST puede modificar los archivos del HFS en la célula PROD. Esto se debe a que el servidor TEST se ejecuta con el ID de usuario WASSRV que pertenece al grupo WSCFG. El grupo WSCFG puede modificar los archivos del HFS de TEST y PROD. Para garantizar la máxima protección, PROD debe crearse y asociarse con un grupo RACF distinto de TEST. Además, considere la posibilidad de habilitar el servidor de aplicaciones y la sincronización de la identidad de hebra de z/OS. Este proceso permite que los servicios del sistema z/OS, como por ejemplo escribir en el HFS, se realicen mediante la identidad de Java™ Platform, Enterprise Edition (Java EE), en lugar de la identidad de la región sirviente. Para obtener más información, lea sobre las opciones de seguridad de z/OS.

Icon that indicates the type of topic Concept topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=csec_safsecdom
File name: csec_safsecdom.html