![[z/OS]](../images/ngzos.gif)
Sugerencias de Resource Access Control Facility para personalizar WebSphere Application Server
Es importante entender los mecanismos de seguridad que se utilizan para proteger los recursos de servidor que utilizan las clases CBIND, SERVER y STARTED en RACF (o su producto de seguridad). En este artículo se describen estos mecanismos junto con algunas técnicas para gestionar el entorno de seguridad.
- CBIND: Acceder a los servidores y acceder a los objetos en los servidores
- SERVER: Acceder a regiones de controlador desde regiones de servant
- STARTED: Asociar ID de usuario y grupos con los procedimientos iniciados (STC)
Debe añadir los permisos y los perfiles RACF necesarios para otro servidor de la célula.
Puede definir el conjunto mínimo de usuarios, grupos y perfiles para el entorno de prueba (donde la seguridad de los servidores individuales no es el principal objetivo o interés).
Los perfiles RACF (CBIND, SERVER, y STARTED): información básica sobre los perfiles RACF que utiliza WebSphere se pueden encontrar en Clases y perfiles de System Authorization Facility. Esta sección añade información adicional sobre los perfiles de las clases CBIND, SERVER y STARTED.
CR = Región de
controlador
SR = Región sirviente
CFG = Configuración (grupo)
server = nombre abreviado de servidor
clúster = nombre (abreviado) de servidor genérico (también denominado nombre de
transición del clúster)
<CR_userid> <CR_groupid>, <CFG_groupid>
<SR_userid> <SR_groupid>, <CFG_groupid>
<demn_userid> <demn_groupid>, <CFG_groupid>
<admin_userid> <CFG_groupid>
<client_userid> <client_groupid>
<ctracewtr_userid> <ctracewtr_groupid>
A continuación se describen los distintos perfiles utilizados para proteger los servidores y los recursos de WebSphere, junto con los permisos y los niveles de acceso.
Perfiles de la clase CBIND - acceso a servidores
genéricos
CB.BIND.<cluster> UACC(READ); PERMIT <CR_group> ACC(CONTROL)
Perfiles de la clase CBIND - acceso a objetos en servidores
CB.<cluster> UACC(READ) PERMIT <CR_group> ACC(CONTROL)
Perfiles de clase SERVER: Actualmente hay dos formatos de los perfiles de la clase SERVER para proteger el acceso a las regiones de controlador de servidor. Debe definir un perfil SERVER de formato único, dependiendo de si está habilitado o no el soporte DAE (Dynamic Application Environment). Para ello, utilice WLM DAE APAR OW54622, que se puede aplicar en z/OS V1R2 o superior.
- El siguiente mandato proporciona acceso a los controladores utilizando Entornos de aplicación estáticos (sin soporte APAR): RDEFINE CB.&<servidor>.&<clúster> UACC(NONE); PERMIT &<SR_IDusuario> ACC(READ) Para este ejemplo, servidor = nombre del servidor, clúster = nombre del clúster o nombre de transición del clúster si todavía no se ha creado un clúster y SR = el ID de usuario de MVS de la región de servidor.
- El siguiente mandato proporciona acceso a los controladores utilizando Entornos de aplicación dinámicos (con el soporte WLM DAE APAR): CB.&<servidor>.&<clúster>;.<célula> UACC(NONE); PERMIT &<SR_IDusuario> ACC(READ) Para este ejemplo, servidor = nombre de servidor, clúster = nombre de clúster o nombre de transición de clúster si todavía no se ha creado ningún clúster, célula = nombre abreviado de la célula, y SR = el ID de usuario de MVS de la región de servidor.
Perfiles de la clase STARTED -
(MGCRE)
<<CR_proc>.<CR_jobname> STDATA(USER(CR_userid) GROUP(CFG_groupid))
<demn_proc>.* STDATA(USER(demn_userid) GROUP(CFG_groupid))
Perfiles de la clase STARTED - (ASCRE)
<SR_jobname>.<SR_jobname> STDATA(USER(SR_userid) GROUP(CFG_groupid))
Perfiles de la clase STARTED para IJP - (MGCRE)
<MQ_ssname>.* STDATA(USER(IJP_userid) GROUP(CFG_groupid))
Generación de nuevos ID de usuario y perfiles para un nuevo servidor: Si desea utilizar ID de usuario únicos para cada nuevo servidor de aplicaciones, debe definir esos usuarios, grupos y perfiles en la base de datos RACF.
- Si desea unos ID de usuario exclusivos para los nuevos servidores, defina tres nuevos
usuarios y conéctelos a los siguientes grupos:
<New_CR_userid> <CR_groupid>, <CFG_groupid><New_SR_userid> <SR_groupid>, <CFG_groupid><New_client_userid> <client_groupid>
- Perfiles de la clase CBIND para el nuevo clúster (nombre abreviado del servidor
genérico):
CB.BIND.<New_cluster>CB.<New_cluster>
- Perfiles de la clase SERVER para el nuevo servidor y clúster:
CB.<New_server>.<New_cluster>CB.<New_server>.<New_cluster>.<cell>
- Perfiles de la clase STARTED para las nuevas regiones de servant y controlador
del servidor:
<CR_proc>.<New_CR_jobname> STDATA(USER(New_CR_userid) GROUP(id_grupo_CFG)) <New_SR_jobname>.* STDATA(USER(New_SR_userid) GROUP(CFG_groupid))
/* Perfiles de la clase CBIND (UACC) -
acceso a servidores genéricos */
CB.BIND.T5CL* UACC(READ); PERMIT ID(T5GRP) ACC(CONTROL)
/* Perfiles de la clase CBIND (UACC) - acceso a objetos en servidores */
CB.T5CL* UACC(READ); PERMIT ID(T5GRP) ACC(CONTROL)
/* Perfiles de la clase SERVER - acceso a controladores (estilo antiguo) */
CB.*.T5CL* UACC(NONE); PERMIT ID(T5USR) ACC(READ)
/* Perfiles de la clase SERVER - acceso a controladores (nuevo estilo) */
CB.*.*.T5CELL UACC(NONE); PERMIT ID(T5USR) ACC(READ)
/* Perfiles de la clase STARTED - (MGCRE) - para STC, excepto servants */
T5ACR.* STDATA(USER(T5USR) GROUP(T5GRP)) /* controlador*/
T5DMN.* STDATA(USER(T5USR) GROUP(T5GRP)) /* daemon */
T5CTRW.* STDATA(USER(T5USR) GROUP(T5GRP)) /* CTrace WTR*/
WMQX*.* STDATA(USER(T5USR) GROUP(T5GRP)) /* IJP */
/* Perfiles de la clase STARTED - (ASCRE - para servants) */
T5SRV*.* STDATA(USER(T5USR) GROUP(T5GRP)) /* sirviente */