![[z/OS]](../images/ngzos.gif)
Los prefijos de perfil SAF y los trabajos de personalización
Puede configurar un prefijo de perfil SAF (System Authorization Facility) (anteriormente referido como dominio de seguridadz/OS) mediante la herramienta de gestión de perfiles z/OS.
- Proporcionan granularidad de roles a nivel de dominio de seguridad de WebSphere
- Permiten que se asignen distintos administradores para la prueba y la producción
- Se utilizan como perfil APPL para servidores del dominio de seguridad de WebSphere
Puede configurar un prefijo de perfil SAF utilizando la herramienta de gestión de perfiles de z/OS para personalizar sus valores o en el panel de opciones de autorización de SAF de la consola administrativa. Esto proporciona un nuevo conjunto de ejemplos de trabajos de personalización RACF (Resource Access Control Facility) que sólo deben ejecutarse una vez cuando se haya creado el dominio.
- CBIND
- EJBROLE
- APPL
/* Perfiles CBIND en caso no haber establecido una definición de servidor */
"RDEFINE CBIND CB.BIND.* UACC(NONE)"
"RDEFINE CBIND CB.* UACC(NONE)"
/* CBIND CB.BIND.domain_name. */
"RDEFINE CBIND CB.BIND.TESTSYS.* UACC(NONE)"
"RDEFINE CBIND CB.TESTSYS.* UACC(NONE)"
Utilice un perfil APPL para proteger WebSphere Application Server para z/OS. Los perfiles de ejemplo pueden otorgar un cierto nivel de acceso APPL a todos si utiliza la autorización de acceso universal, UACC, y pueden otorgar acceso al grupo de configuración, a los ID de usuario no autenticados y a todos los ID de usuario válidos de WebSphere Application Server para z/OS. UACC(NONE) proporcionará un acceso predeterminado de NONE a todos. Puede controlar se utiliza si el perfil de la clase APPL para la autorización, estableciendo el recuadro de selección etiquetado "Utilizar el perfil APPL para limitar el acceso al servidor" en el panel de opciones de la autorización SAF de la consola administrativa.
RDEFINE APPL CBS390 UACC(NONE)
PERMIT CBS390 CLASS(APPL) ID(TSCLGP) ACCESS(READ)
RDEFINE APPL TESTSYS UACC(NONE)
PERMIT TESTSYS CLASS(APPL) ID(TSCLGP) ACCESS(READ)
Los siguientes perfiles EJBROLE se definen para las comprobaciones de autorización basada en roles si no hay ningún prefijo de perfil SAF y el grupo de configuración está definido como TSTCFG. Tenga en cuenta que estos son el conjunto mínimo de usuarios que necesitan acceso a roles administrativos y de denominación cuando se selecciona la autorización SAF (System authorization Facility).
RDEFINE EJBROLE administrator UACC(NONE)
RDEFINE EJBROLE monitor UACC(NONE)
RDEFINE EJBROLE configurator UACC(NONE)
RDEFINE EJBROLE operator UACC(NONE)
RDEFINE EJBROLE deployer UACC(NONE)
RDEFINE EJBROLE adminsecuritymanager UACC(NONE)
RDEFINE EJBROLE auditor UACC(NONE)
PERMIT administrator CLASS(EJBROLE) ID(TSTCFG) ACCESS(READ)
PERMIT auditor CLASS(EJBROLE) ID(TSTCFG) ACCESS(READ)
PERMIT adminsecuritymanager CLASS(EJBROLE) ID(TSTCFG) ACCESS(READ)
/* Configurar perfiles EJBRoles para roles de nombres */
RDEFINE EJBROLE CosNamingRead UACC(NONE)
PERMIT CosNamingRead CLASS(EJBROLE) ID(TSGUEST) ACCESS(READ)
RDEFINE EJBROLE CosNamingWrite UACC(NONE)
PERMIT CosNamingWrite CLASS(EJBROLE) ID(TSGUEST) ACCESS(READ)
RDEFINE EJBROLE CosNamingCreate UACC(NONE)
PERMIT CosNamingCreate CLASS(EJBROLE) ID(TSGUEST) ACCESS(READ)
RDEFINE EJBROLE CosNamingDelete UACC(NONE)
PERMIT CosNamingDelete CLASS(EJBROLE) ID(TSGUEST) ACCESS(READ)
RDEFINE EJBROLE TESTSYS.administrator UACC(NONE)
RDEFINE EJBROLE TESTSYS.monitor UACC(NONE)
RDEFINE EJBROLE TESTSYS.configurator UACC(NONE)
RDEFINE EJBROLE TESTSYS.operator UACC(NONE)
RDEFINE EJBROLE TESTSYS.deployer UACC(NONE)
RDEFINE EJBROLE TESTSYS.adminsecuritymanager UACC(NONE)
RDEFINE EJBROLE TESTSYS.auditor UACC(NONE)
PERMIT TESTSYS.administrator CLASS(EJBROLE) ID(TSTCFG) ACCESS(READ)
PERMIT TESTSYS.auditor CLASS(EJBROLE) ID(TSTCFG) ACCESS(READ)
PERMIT TESTSYS.adminsecuritymanager CLASS(EJBROLE) ID(TSTCFG) ACCESS(READ)
/* Configurar perfiles EJBRoles para roles de nombres */
RDEFINE EJBROLE TESTSYS.CosNamingRead UACC(NONE)
PERMIT TESTSYS.CosNamingRead CLASS(EJBROLE) ID(TSGUEST) ACCESS(READ)
RDEFINE EJBROLE TESTSYS.CosNamingWrite UACC(NONE)
PERMIT TESTSYS.CosNamingWrite CLASS(EJBROLE) ID(TSGUEST) ACCESS(READ)
RDEFINE EJBROLE TESTSYS.CosNamingCreate UACC(NONE)
PERMIT TESTSYS.CosNamingCreate CLASS(EJBROLE) ID(TSGUEST) ACCESS(READ)
RDEFINE EJBROLE TESTSYS.CosNamingDelete UACC(NONE)
PERMIT TESTSYS.CosNamingDelete CLASS(EJBROLE) ID(TSGUEST) ACCESS(READ)
Definiciones de perfiles CBIND para servidores
RDEFINE CBIND CB.BIND.BBO* UACC(NONE)
RDEFINE CBIND CB.BIND.TSTC001 UACC(NONE)
PERMIT CB.BIND.BBO* CLASS(CBIND) ID(TSTCFG) ACCESS(CONTROL)
PERMIT CB.BIND.TSTC001 CLASS(CBIND) ID(TSTCFG) ACCESS(CONTROL)
RDEFINE CBIND CB.BBO* UACC(NONE)
RDEFINE CBIND CB.TSTC001 UACC(NONE)
RDEFINE CBIND CB.BIND.TESTSYS.BBO* UACC(NONE)
RDEFINE CBIND CB.BIND.TESTSYS.TSTC001 UACC(NONE)
PERMIT CB.BIND.TESTSYS.BBO* CLASS(CBIND) ID(TSTCFG) ACCESS(CONTROL)
PERMIT CB.BIND.TESTSYS.TSTC001 CLASS(CBIND) ID(TSTCFG) ACCESS(CONTROL)
RDEFINE CBIND CB.TESTSYS.BBO* UACC(NONE)
RDEFINE CBIND CB.TESTSYS.TSTC001 UACC(NONE)
- Si desea crear un nuevo servidor específico que tenga un nombre de trabajo que
empiece con un prefijo distinto de BBO*, defina un perfil CBIND específico entrando los
siguientes mandatos
RACF:
RDEFINE CBIND CB.BIND.TSTC002 UACC(NONE) PERMIT CB.BIND.TSTC002 CLASS(CBIND) ID(TSTCFG) ACCESS(CONTROL) RDEFINE CBIND CB.TSTC002 UACC(NONE)
- Los ejemplos crean definiciones de servidor con nombres de servidor específicos
(pero un perfil genérico con un prefijo de servidor BBO). Si ha creado un prefijo de
servidor alternativo y desea evitar las definiciones de CBIND adicionales, añada perfiles
CBIND genéricos que reflejen el nuevo nombre. Para ello, entre los siguientes mandatos
RACF ,
donde TST es el prefijo del nombre de trabajo del servidor:
RDEFINE CBIND CB.BIND.TESTSYS.TST* UACC(NONE) PERMIT CB.BIND.TESTSYS.TST* CLASS(CBIND) ID(TSTCFG) ACCESS(CONTROL) RDEFINE CBIND CB.TESTSYS.TST* UACC(NONE)
- Aunque el prefijo de perfil SAF separa las clases RACF (CBIND, EJBROLE, APPL), no
separa los permisos de archivo de los archivos de configuración del sistema
jerárquico de archivos (HFS). Por ejemplo, si:
- El administrador es WSADMIN en el grupo WSCFG
- La identidad de región sirviente es WASSRV (que también debe pertenecer al grupo WSCFG)
- El usuario TOM tiene acceso READ en el EJBROLE TEST.administrator pero no en el EJBROLE PROD.administrator,
- Una aplicación intrusa que se ejecute en el servidor de aplicaciones TEST puede modificar los archivos del HFS en la célula PROD. Esto se debe a que el servidor TEST se ejecuta con el ID de usuario WASSRV que pertenece al grupo WSCFG. El grupo WSCFG puede modificar los archivos del HFS de TEST y PROD. Para garantizar la máxima protección, PROD debe crearse y asociarse con un grupo RACF distinto de TEST. Además, considere la posibilidad de habilitar el servidor de aplicaciones y la sincronización de la identidad de hebra de z/OS. Este proceso permite que los servicios del sistema z/OS, como por ejemplo escribir en el HFS, se realicen mediante la identidad de Java™ Platform, Enterprise Edition (Java EE), en lugar de la identidad de la región sirviente. Para obtener más información, lea sobre las opciones de seguridad de z/OS.