[z/OS]

Récapitulatif des contrôles

Chaque contrôleur, servant et client doit posséder son propre ID utilisateur MVS. Lorsqu'une requête est transmise d'un client vers le cluster ou d'un cluster à un autre cluster, WebSphere Application Server for z/OS transmet l'identité utilisateur (client ou cluster) avec la requête. Par conséquent, chaque requête est effectuée au nom de l'identité de l'utilisateur et le système vérifie si l'identité de l'utilisateur est associée à des droits d'accès lui permettant d'adresser une telle requête. Les tableaux présentent les droits d'accès SAF (System Authorization Facility) et non-SAF.

Récapitulatif des contrôles de sécurité z/OS indépendamment du paramètre de sécurité administrative

Il existe de nombreux types de processus dans une configuration WebSphere Application Server for z/OS :
  • Gestionnaires de déploiement
  • Agents de noeud
  • Démons du service de localisation
  • Serveurs d'applications WebSphere
Ils peuvent tous être affichés en tant que processus contrôleur ou paires de processus WebSphere Application Server for z/OS (un contrôleur et un servant).

Chaque contrôleur et chaque servant doit s'exécuter sous un ID utilisateur MVS valide assigné dans le cadre de la définition d'une tâche démarrée. Cet ID utilisateur MVS doit avoir un ID services système UNIX valide et être connecté au groupe de configuration WebSphere commun à tous les serveurs de la cellule avec un MVS et une identité de groupe services système UNIX valides .

Le tableau suivant présente un récapitulatif des contrôles utilisés pour octroyer les droits d'accès permettant à ces contrôleurs et servants d'accéder aux ressources du système d'exploitation. Si vous comprenez et utilisez ces contrôles, vous pouvez contrôler tous les accès aux ressources dans WebSphere Application Server for z/OS.
Tableau 1. Récapitulatif des contrôles et droits d'accès SAF.

Ce tableau résume les contrôles et leurs autorisations SAF.

Contrôle Autorisation
Classe DATASET Accès aux ensembles de données
Classe DSNR Accès à DB2 (Database 2)
Classe FACILITY (BPX.WLMSERVER) Accès au profil BPX.WLMSERVER pour effectuer une gestion de l'enclave Workload Manager (WLM) dans le processus servant. Sans cet accès, aucune classification n'est effectuée.
Classe FACILITY (IMSXCF.OTMACI) Accès à OTMA (Open Transaction Manager Access) pour le système IMS (Information Management System) et au profil BPX.WLMSERVER
Droits d'accès aux fichiers HFS Accès aux fichiers HFS (Hierarchical File System)
Classe LOGSTRM Accès aux flots de consignation
Classe OPERCMDS Accès au script shell startServer.sh et à Integral JMSProvider
Classe SERVER Accès au contrôleur par un processus servant
Classe STARTED Association d'un ID utilisateur (et éventuellement un ID groupe) pour démarrer la procédure
Classe SURROGAT (*.DFHEXCI) Accès à EXCI pour l'accès CICS (Customer Information

Les travaux de personnalisation de l'outil de gestion des profils WebSphere z/OS ou de la commande zpmt et RACF (Resource Access Control Facility) les définissent pour les paramètres de serveur initiaux relatifs aux profils *'ed.

Remarque : Le fichier exec qui se trouve dans HLQ.DATA(BBOWBRAC) propose des exemples de droits d'accès pour les autres profils. La sélection d'une identité à utiliser pour les droits d'accès aux ressources de connecteur natif (CICS, DB2, , IMS) dépend du :
  • Type de connecteur
  • Paramètre d'authentification de ressource (resAuth) de l'application déployée
  • Disponibilité d'un alias
  • Paramètre de sécurité
Les gestionnaires de ressource tels que DB2, IMS et CICS ont mis en oeuvre leurs propres contrôles de ressources, qui contrôlent la capacité des clients à accéder aux ressources. Lorsque les contrôles de ressource sont utilisés par DB2, utilisez la classe DSNR RACF (si vous bénéficiez d'une prise en charge RACF) ou émettez les instructions DB2 GRANT applicables. Vous pouvez :
  • Accéder à OTMA pour IMS à l'aide de la classe FACILITY (IMSXCF.OTMACI)
  • Accéder à EXCI pour CICS à l'aide de la classe SURROGAT (*.DFHEXCI)
  • contrôler l'accès aux ensembles de données à l'aide de la classe DATASET et aux fichiers HFS avec des droits d'accès de fichier

Remarque : Les droits d'accès MVS SAF de l'ensemble des ressources de sous-système MVS auxquelles des applications J2EE accèdent sont généralement appliquées à l'aide de l'identité de l'ID utilisateur MVS. Pour plus d'informations, voir Java Platform, identité Enterprise Edition et identité d'unité d'exécution du système.

Le profil BPX.WLMSERVER de la classe FACILITY est utilisé pour autoriser un espace d'adresse à utiliser les services d'exécution LE (Language Environment) qui forment une interface avec la gestion de charge de travail dans une région de serveur. Ces services d'exécution LE sont utilisés par WebSphere Application Server pour extraire des informations de classification des enclaves ainsi que pour gérer l'association de travail avec une enclave. Les interfaces non autorisées étant utilisées afin de manipuler des enclaves WLM pour les travaux de la région du serveur qui n'ont pas été transmis d'un contrôleur à un servant, les servants WebSphere Application Server doivent disposer d'un accès en lecture à ce profil. Sans ce droit d'accès, toute tentative de création, suppression, jonction ou abandon d'une enclave WLM échoue avec une erreur java.lang.SecurityException.

Récapitulatif des contrôles de sécurité z/OS en vigueur lorsque la sécurité administrative et la sécurité d'application sont activées

Lorsque la sécurité administrative et la sécurité d'application sont activées, le protocole SSL doit être disponible pour le chiffrement et la protection des messages. En outre, l'authentification et l'autorisation de J2EE et des clients administratifs sont activées.

L'autorisation de classe FACILITY nécessaire aux services SSL et la définition des fichiers de clés SAF sont obligatoires lorsque la sécurité administrative est activée.

Lorsqu'une requête passe d'un client à WebSphere Application Server ou d'un cluster à un autre, WebSphere Application Server for z/OS transmet l'identité utilisateur (client ou cluster) avec la requête. Par conséquent, chaque requête est effectuée au nom de l'identité de l'utilisateur et le système vérifie si l'identité de l'utilisateur est associé à des droits d'accès lui permettant d'adresser une telle requête. Les tableaux présentent les droits d'accès z/OS utilisant SAF.

Le tableau suivant présente un récapitulatif des contrôles utilisés pour octroyer des autorisations aux ressources. Si vous comprenez et utilisez ces contrôles, vous pouvez contrôler les accès à toutes les ressources WebSphere Application Server for z/OS.
Tableau 2. Récapitulatif des contrôles et droits d'accès SAF.

Ce tableau résume les contrôles et leurs autorisations SAF.

Contrôle Autorisation
Classe CBIND Accès à un cluster
Classe EJBROLE ou GEJBROLE Accès aux méthodes dans les beans enterprise
Classe FACILITY (IRR.DIGTCERT.LIST et IRR.DIGTCERT.LISTRING) Fichiers de clés, certificats et mappages SSL
Classe FACILITY (IRR.RUSERMAP) Justificatifs Kerberos
Classe FACILITY (BBO.SYNC) Active Synchronisation autorisée avec l'unité d'exécution du système
Classe FACILITY (BBO.TRUSTEDAPPS) Active les applications sécurisées
Classe SURROGAT (BBO.SYNC) Active Synchronisation autorisée avec l'unité d'exécution du système
Classe PTKTDATA PassTicket activé dans le sysplex
Définir l'identité de l'unité d'exécution du système d'exploitation sur et OS Thread RunAs Identity Propriété de cluster J2EE utilisé pour activer l'identité de démarrage des ressources non-J2EE

Icône indiquant le type de rubrique Rubrique de référence



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rsec_sumofcontrol
Nom du fichier : rsec_sumofcontrol.html