![[z/OS]](../images/ngzos.gif)
Contrôle des autorisations du processus serveur
Vous pouvez spécifier plusieurs restrictions d'accès aux ressources z/OS.
Pour contrôler l'accès aux ressources WebSphere Application Server for z/OS :
- En règle générale, accordez une plus grande autorité aux contrôleurs et une moindre autorité
aux servants.
Tableau 1. Niveau de confiance et de droits pour les régions. Ce tableau indique le niveau de confiance et de droits pour les régions.
Région Niveau de confiance et de droits d'accès Contrôleur Remarque :- Contient le code système WebSphere Application Server for z/OS.
- Reconnu, exécute des programmes disposant des autorisations APF
- Contient des ports de communication et gère la manipulation des identités client SAF (System Authorization Facility)
Servant Remarque :- Contient le code système, le code des applications et les fournisseurs de services connectables (comme des pilotes jdbc) WebSphere Application Server for z/OS
- Prend en charge la sécurité Java™ 2 pour protéger des données et des services système sensibles
- Non reconnu(e)(s)
- En matière de clusters d'exécution WebSphere Application Server for z/OS,
la règle générale consiste à accorder des droits moindres au démon du service de localisation
et des droits plus importants au noeud, comme expliqué dans le tableau suivant :
Tableau 2. Attribution de droits au contrôle et serviteurs du cluster d'exécution WebSphere Application Server for z/OS . Ce tableau répertorie les droits requis pour les contrôles et serviteurs du cluster d'exécution z/OS.
Cluster d'exécution Région Droits requis Démon du service de localisation Contrôle - Classe STARTED
- Accès aux services Workload Manager (WLM)
- Accès au DNS
- Accès OPERCMDS aux clusters START, STOP, CANCEL, FORCE et autres clusters MODIFY
- IRR.DIGTCERT.LIST et IRR.DIGCERT.LISTRING dans FACILITY (SSL)
Noeud Contrôle Classe STARTED Contrôleur Contrôle - ssl
- Kerberos
- Droit READ dans la classe SERVER,
- Accès OPERCMDS aux clusters START, STOP, CANCEL, FORCE et autres serveurs MODIFY
Serviteur Contrôle Les classes suivantes : - OTMA
- SERVER
- DSNR,
- DATASET
- SURROGATE
- STARTED
- LOGSTREEAM
- Veillez à protéger les flux de journaux RRS (Resource Recovery Services). Par défaut, UACC est READ.
- Protégez les fichiers XML de propriétés WebSphere Application Server for z/OS, en particulier s'ils contiennent des mots de passe. Pour plus d'informations, voir les variables WebSphere Application Server dans la console d'administration ou la documentation.
- Le Gestionnaire de déploiement nécessite aussi une autorisation pour démarrer et arrêter des serveurs.