[z/OS]

Conseils d'utilisation de la fonction RACF (Resource Access Control Facility) pour personnaliser WebSphere Application Server

Il est important de comprendre les mécanismes de sécurité utilisés pour protéger les ressources du serveur à l'aide des classes CBIND, SERVER et STARTED de la fonctionnalité RACF (ou de tout autre logiciel de sécurité). Ce document décrit ces mécanismes, ainsi que des techniques de gestion de l'environnement de sécurité.

Les détails sur les profils RACF qui sont utilisés pour protéger les ressources et les serveurs WebSphere utilisent les classes suivantes :
  • CBIND : Accès aux serveurs et aux objets des serveurs
  • SERVER : Accès aux régions du contrôleur par les régions du serveur
  • STARTED : Association d'ID utilisateur et de groupes aux procédures lancées (STC)

Vous devez ajouter les droits d'accès et les profils RACF requis pour un autre serveur dans votre cellule.

Vous pouvez définir l'ensemble minimal d'utilisateurs, de groupes et de profils pour un environnement de test (où la sécurité des serveurs individuels n'est pas l'objectif principal).

Profils RACF (CBIND, SERVER et STARTED) : des informations de base sur les profils RACF utilisés par WebSphere sont disponibles dans Classes et profils de SAF (System Authorization Facility). Cette section présente des détails supplémentaires sur les profils de classe CBIND, SERVER et STARTED.

ID utilisateur et ID de groupe : En tant qu'utilisateur de l'outil de gestion des profils WebSphere z/OS ou de la commande zpmt la tâche BBOCBRAK génère des commandes RACF pouvant être exécutées avec la tâche BBOWBRAK. Clé :
CR = Controller Region
SR = Servant Region
CFG = Configuration (group)
server = server short name
cluster = generic server (short) name (also called cluster transition name)
Dans un premier temps, six utilisateurs et six groupes sont définis comme indiqué ci-dessous, chacun d'eux étant désigné par un symbole pour vous permettre de mieux comprendre leur mode d'utilisation dans les différents droits d'accès présentés ultérieurement :
<CR_userid> <CR_groupid>, <CFG_groupid>
<SR_userid> <SR_groupid>, <CFG_groupid>
<demn_userid> <demn_groupid>, <CFG_groupid>
<admin_userid> <CFG_groupid>
<client_userid> <client_groupid>
<ctracewtr_userid> <ctracewtr_groupid>

Vous trouverez ci-dessous les profils utilisés pour protéger les serveurs et les ressources WebSphere, ainsi que les droits d'accès et les niveaux d'accès correspondants.

Profils de classe CBIND : Il existe deux formats et niveaux de profils de classe CBIND pour la protection des accès aux serveurs d'applications et aux objets qu'ils contiennent :
CBIND Class profiles - access to generic servers
CB.BIND.<cluster> UACC(READ); PERMIT <CR_group> ACC(CONTROL)

CBIND Class profiles - access to objects in servers
CB.<cluster> UACC(READ) PERMIT <CR_group> ACC(CONTROL)

Profils de classe SERVER : Il existe actuellement deux formats de profils de classe SERVER pour la protection de l'accès aux régions du contrôleur du serveur. Vous devez définir un seul format de profil SERVER qui dépend de la prise en charge ou non de l'environnement DAE (Dynamic Application Environment). Il convient pour cela d'utiliser WLM DAE APAR OW54622, compatible avec z/OS V1R2 ou version ultérieure.

Dans l'outil de gestion des profils WebSphere z/OS ou dans la commande zpmt, les deux formats sont prédéfinis, et l'un d'entre eux est requis lors de l'exécution. Le format requis est déterminé de manière dynamique par le module d'exécution de WebSphere Application Server for z/OS en fonction de la disponibilité du support DAE (Dynamic Application Environment).
  • La commande suivante fournit l'accès aux contrôleurs à l'aide d'environnements d'applications statiques (sans support APAR) : RDEFINE CB.&<server>.&<cluster> UACC(NONE); PERMIT &<IDutilisateur_SR> ACC(READ) Dans cet exemple, server = nom du serveur, cluster = nom du cluster ou nom de transition du cluster si un cluster n'a pas encore été créé, et SR = l'ID utilisateur MVS de la région du serveur.
  • The following command provides access to controllers using dynamic Application Environments (with the WLM DAE APAR support): CB.&<server>.&<cluster>.<cell> UACC(NONE); PERMIT &<SR_userid> ACC(READ) For this example, server = server name, cluster = cluster name or cluster transition name if a cluster has not yet been created, cell = cell short name, and SR = the MVS user ID of the Server Region.
Profils de classe STARTED : Deux formats de profil de classe STARTED sont utilisés pour affecter des ID utilisateur et groupe aux régions du contrôleur et à d'autres STC. Ils dépendent de l'interface utilisée pour lancer la tâche started, c'est-à-dire l'interface MGCRE ou l'interface de création de l'espace adresse (ASCRE) utilisée par WLM (Workload Manager) pour démarrer les régions serviteur :
STARTED Class profiles - (MGCRE)
<<CR_proc>.<CR_jobname> STDATA(USER(CR_userid) GROUP(CFG_groupid))
<demn_proc>.* STDATA(USER(demn_userid) GROUP(CFG_groupid))

STARTED Class profiles - (ASCRE)
<SR_jobname>.<SR_jobname> STDATA(USER(SR_userid) GROUP(CFG_groupid))

STARTED Class profiles for IJP - (MGCRE)
<MQ_ssname>.* STDATA(USER(IJP_userid) GROUP(CFG_groupid))

Génération d'ID utilisateur et de profils pour un nouveau serveur : Si vous souhaitez utiliser des ID utilisateur uniques pour chaque nouveau serveur d'applications, vous devez définir ces utilisateurs, groupes et profils dans la base de données RACF.

Une technique consiste à modifier une copie du membre BBOWBRAK à l'aide de l'outil de gestion des profils WebSphere z/OS ou de la commande zpmt, dans l'ensemble de données partitionnées .DATA, et à modifier les entrées suivantes en indiquant les nouveaux utilisateurs et groupes, ainsi que les profils uniques de nom Nouveau_serveur, et Nouveau_cluster :
  • Si vous souhaitez utiliser des ID utilisateurs uniques pour les nouveaux serveurs, définissez trois nouveaux utilisateurs et connectez-les aux groupes suivants :
    <New_CR_userid> <CR_groupid>, <CFG_groupid>
    <New_SR_userid> <SR_groupid>, <CFG_groupid>
    <New_client_userid> <client_groupid>
  • Profils de classe CBIND pour le nouveau cluster (nom abrégé du serveur générique) :
    CB.BIND.<New_cluster>
    CB.<New_cluster>
  • Profils de classe SERVER pour le nouveau serveur et cluster :
    CB.<New_server>.<New_cluster>
    CB.<New_server>.<New_cluster>.<cell>
  • Profils de classe STARTED pour le contrôleur du nouveau serveur et les régions du serveur :
    <CR_proc>.<New_CR_jobname> STDATA(USER(New_CR_userid)
                                            GROUP(CFG_groupid))
    <New_SR_jobname>.* STDATA(USER(New_SR_userid) GROUP(CFG_groupid))
Profils minimalistes : Pour réduire le nombre d'utilisateurs, de groupes et de profils dans l'ensemble de données RACF, vous pouvez utiliser un ID utilisateur, un ID de groupe et des profils très génériques capables de couvrir plusieurs serveurs installés dans la même cellule. Voici un exemple de profils comportant un utilisateur (T5USR), un groupe (T5GRP) et un ensemble de serveurs dans la cellule T5CELL, dotés de noms abrégés commençant par T5SRV* et de noms génériques commençant par T5CL*. Cette technique peut également être utilisée avec les configurations IJP (Integral JMS Provider) et ND (WebSphere Application Server, Network Deployment).
/* CBIND Class profiles (UACC) - access to generic servers */
CB.BIND.T5CL* UACC(READ); PERMIT ID(T5GRP) ACC(CONTROL)

/* CBIND Class profiles (UACC) - access to objects in servers */
CB.T5CL* UACC(READ); PERMIT ID(T5GRP) ACC(CONTROL)

/* SERVER Class profiles - access to controllers (old style) */
CB.*.T5CL* UACC(NONE); PERMIT ID(T5USR) ACC(READ)

/* SERVER Class profiles - acc to controllers (new style) */
CB.*.*.T5CELL UACC(NONE); PERMIT ID(T5USR) ACC(READ)

/* STARTED Class profiles - (MGCRE) - for STCs, except servants */
T5ACR.* STDATA(USER(T5USR) GROUP(T5GRP)) /* controller*/
T5DMN.* STDATA(USER(T5USR) GROUP(T5GRP)) /* daemon */
T5CTRW.* STDATA(USER(T5USR) GROUP(T5GRP)) /* CTrace WTR*/
WMQX*.* STDATA(USER(T5USR) GROUP(T5GRP)) /* IJP */

/* STARTED Class profiles - (ASCRE - for servants) */
T5SRV*.* STDATA(USER(T5USR) GROUP(T5GRP)) /* servant */

Icône indiquant le type de rubrique Rubrique de concept



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=csec_racftips
Nom du fichier : csec_racftips.html