[z/OS]

SSL (Secure Sockets Layer) du démon

La console d'administration permet de modifier le port et les paramètres de port SSL (Secure Sockets Layer), mais aussi de spécifier les paramètres SSL (répertoire SSL). Le répertoire par défaut est identique à celui utilisé par le serveur, qui est un répertoire SystemSSL IIOP. Au cours de l'initialisation du démon, le système tente d'initialiser l'utilisation de SSL si la sécurité est activée et si un répertoire valide a été trouvé. Afin de désactiver le port SSL du démon, une variable WebSphere (DAEMON_security_disable_daemon_ssl) au niveau de la cellule doit être créée et définie avec la valeur 1. La valeur par défaut de cette variable est 0.

SSL permet de protéger les emplacements du démon SSL en utilisant le démon du service de localisation si :
  • la sécurité administrative est activée ;
  • un répertoire SSL du démon est configuré dans la console d'administration (le répertoire SSL du démon désigne un fichier de clés RACF valide appartenant à l'ID utilisateur MVS associé au processus du démon) ;
  • un certificat et un fichier de clés ont été définis.
Dans la console d'administration, cliquez sur Administration du système > Groupes de noeuds > nom_groupe_de_noeuds_sysplex. Dans le menu Propriétés supplémentaires, cliquez sur Service d'emplacement z/OS.
Démon du service de localisation

Ce panneau permet de définir les paramètres de configuration du démon du service de localisation pour cette cellule.  
Modifications apportées à ces paramètres pour la cellule toute entière et l'instance du démon du service de localisation 
sur chaque noeud contenu dans la cellule.

Nom du travail          BBODMNC                           Indique le nom de travail z/OS du démon de service
                                                    de localisation.
Nom d'hôte         BOSSXXXX.PLEX1.L2.IBM.COM        Indique le nom d'hôte à utiliser pour contacter
                                                    le démon du service de localisation.
Port              5755                              Indique l'emplacement du port où le démon du service de
                                                    localisation écoute les communications non chiffrées.
Port SSL          5756                              Indique l'emplacement du port où le démon du service de
                                                    localisation écoute les communications chiffrées.
Paramètres SSL       PLEX1Manager/DefaultIIOPSSL    Indique une liste des paramètres SSL prédéfinis pouvant
                                                    être sélectionnés pour les connexions.
                                                    Ces paramètres sont configurés dans le panneau du répertoire
                                                    SSL.
Les protocoles SSL et TLS peuvent être définis sur le démon z/OS à l'aide des variables WebSphere suivantes. L'affectation de la valeur 1 à cette variable active le protocole, tandis que la valeur 0 le désactive.
DAEMON_com_ibm_DAEMON_protocol_TLSv1_enabled    //* default 1
DAEMON_com_ibm_DAEMON_protocol_TLSv1_1_enabled  //* default 0
DAEMON_com_ibm_DAEMON_protocol_TLSv1_2_enabled  //* default 0
                                                             
DAEMON_com_ibm_DAEMON_protocol_SSLv2_enabled    //* default 0
DAEMON_com_ibm_DAEMON_protocol_SSLv3_enabled    //* default 1
L'outil PMT (Profile Management Tool) de WebSphere z/OS ou la commande zpmt permettent d'indiquer les données d'authentification, et notamment l'ID utilisateur du démon, l'UID et le port SSL. Des commandes RACF sont générées pour créer un fichier de clés devant être utilisé par le serveur (WASKeyring, par défaut). Le fichier de clés du démon et le certificat sont générés par l'outil PMT (Profile Management Tool) de z/OS ou par la commande zpmt. Pour générer le fichier de clés et le certificat de démon en utilisant z/OS Profile Management Tool, sélectionnez Sécurité Domaine > Personnalisation SSL > Activer SSL sur le démon du service de localisation. Si vous tapez O en regard de cette option, des commandes RACF sont générées pour autoriser l'exécution des tâches suivantes :
  • création d'un fichier de clés et du certificat du démon ;
  • connexion du certificat et des certificats de l'autorité de certification au fichier de clés.
Important : Cette option ne contrôle pas l'utilisation du paramètre SSL du démon.
Cela est approprié si les ID utilisateur sont identiques mais, si le démon possède un ID utilisateur différent, voir Configuration d'un fichier de clés devant être utilisé par WebSphere Application Server pourz/OS. Les valeurs sont sélectionnées par la console d'administration.

Si le même ID utilisateur MVS a été affecté au processus du démon et à un serveur WebSphere Application Server sécurisé, le même fichier de clés permet de sécuriser WebSphere Application Server et les demandes du démon. Si le processus de démon n'est pas affecté du même ID utilisateur MVS qu'un WebSphere Application Server, il est recommandé d'exécuter une configuration SSL de démon similaire à celle du WebSphere Application Server. Modifiez les commandes des travaux de personnalisation générées dans BBOCBRAK (ou HLQ.DATA(BBODBRAK) dans WebSphere Application Server, Network Deployment) pour exécuter les étapes décrites dans Configuration d'un fichier de clés devant être utilisé par WebSphere Application Server pour z/OS.


Icône indiquant le type de rubrique Rubrique de concept



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=csec_daemonssl
Nom du fichier : csec_daemonssl.html