![[z/OS]](../images/ngzos.gif)
Préfixes de profil SAF et travaux de personnalisation
Vous pouvez configurer un préfixe de profil SAF (System Authorization Facility), auparavant appelé domaine de sécurité z/OS, en utilisant l'outil de gestion des profils z/OS.
- Fournissent une granularité au niveau du domaine WebSphere des rôles
- Permettent à différents administrateurs d'être affectés pour un test et la production
- Sont utilisés comme profil APPL pour les serveurs dans le domaine de sécurité WebSphere
Pour personnaliser vos paramètres, vous pouvez définir un préfixe de profil SAF à l'aide de l'outil de gestion des profils z/OS, ou du panneau Options d'autorisation SAF de la console d'administration. Cela propose un nouvel ensemble d'exemples de travaux de personnalisation RACF (Resource Access Control Facility) devant être exécutés une seule fois, après la création du domaine.
- CBIND
- EJBROLE
- APPL
/* CBIND profiles in case no server definition is set */
"RDEFINE CBIND CB.BIND.* UACC(NONE)"
"RDEFINE CBIND CB.* UACC(NONE)"
/* CBIND CB.BIND.domain_name. */
"RDEFINE CBIND CB.BIND.TESTSYS.* UACC(NONE)"
"RDEFINE CBIND CB.TESTSYS.* UACC(NONE)"
Utilisez un profil APPL pour protéger WebSphere Application Server pour z/OS. Les exemples de profil peuvent accorder un certain niveau d'accès APPL à tout utilisateur si vous utilisez les droits d'accès universels, UACC, et autorisez l'accès au groupe de configuration, aux ID utilisateur non authentifiés et à tous les ID utilisateur WebSphere Application Server pour z/OS valides. Les droits UACC(NONE) accordent l'accès par défaut NONE à tout le monde. Vous pouvez spécifier l'utilisation du profil de classe APPL pour l'autorisation en cochant la case définissant l'"utilisation du profil APPL pour limiter l'accès au serveur", sur le panneau des options d'autorisation SAF de la console d'administration.
RDEFINE APPL CBS390 UACC(NONE)
PERMIT CBS390 CLASS(APPL) ID(TSCLGP) ACCESS(READ)
RDEFINE APPL TESTSYS UACC(NONE)
PERMIT TESTSYS CLASS(APPL) ID(TSCLGP) ACCESS(READ)
Les profils EJBROLE suivants sont définis pour les vérifications des autorisations basées sur les rôles s'il n'existe pas de préfixe de profil SAF et si le groupe de configuration est défini comme étant TSTCFG. Notez qu'il s'agit de l'ensemble minimal d'utilisateurs nécessitant un accès aux rôles de nommage et d'administration lorsque le mécanisme d'autorisation SAF (System Authorization Facility) est sélectionné.
RDEFINE EJBROLE administrator UACC(NONE)
RDEFINE EJBROLE monitor UACC(NONE)
RDEFINE EJBROLE configurator UACC(NONE)
RDEFINE EJBROLE operator UACC(NONE)
RDEFINE EJBROLE deployer UACC(NONE)
RDEFINE EJBROLE adminsecuritymanager UACC(NONE)
RDEFINE EJBROLE auditor UACC(NONE)
PERMIT administrator CLASS(EJBROLE) ID(TSTCFG) ACCESS(READ)
PERMIT auditor CLASS(EJBROLE) ID(TSTCFG) ACCESS(READ)
PERMIT adminsecuritymanager CLASS(EJBROLE) ID(TSTCFG) ACCESS(READ)
/* Setting up EJBRoles Profiles for Naming roles */
RDEFINE EJBROLE CosNamingRead UACC(NONE)
PERMIT CosNamingRead CLASS(EJBROLE) ID(TSGUEST) ACCESS(READ)
RDEFINE EJBROLE CosNamingWrite UACC(NONE)
PERMIT CosNamingWrite CLASS(EJBROLE) ID(TSGUEST) ACCESS(READ)
RDEFINE EJBROLE CosNamingCreate UACC(NONE)
PERMIT CosNamingCreate CLASS(EJBROLE) ID(TSGUEST) ACCESS(READ)
RDEFINE EJBROLE CosNamingDelete UACC(NONE)
PERMIT CosNamingDelete CLASS(EJBROLE) ID(TSGUEST) ACCESS(READ)
RDEFINE EJBROLE TESTSYS.administrator UACC(NONE)
RDEFINE EJBROLE TESTSYS.monitor UACC(NONE)
RDEFINE EJBROLE TESTSYS.configurator UACC(NONE)
RDEFINE EJBROLE TESTSYS.operator UACC(NONE)
RDEFINE EJBROLE TESTSYS.deployer UACC(NONE)
RDEFINE EJBROLE TESTSYS.adminsecuritymanager UACC(NONE)
RDEFINE EJBROLE TESTSYS.auditor UACC(NONE)
PERMIT TESTSYS.administrator CLASS(EJBROLE) ID(TSTCFG) ACCESS(READ)
PERMIT TESTSYS.auditor CLASS(EJBROLE) ID(TSTCFG) ACCESS(READ)
PERMIT TESTSYS.adminsecuritymanager CLASS(EJBROLE) ID(TSTCFG) ACCESS(READ)
/* Setting up EJBRoles Profiles for Naming roles */
RDEFINE EJBROLE TESTSYS.CosNamingRead UACC(NONE)
PERMIT TESTSYS.CosNamingRead CLASS(EJBROLE) ID(TSGUEST) ACCESS(READ)
RDEFINE EJBROLE TESTSYS.CosNamingWrite UACC(NONE)
PERMIT TESTSYS.CosNamingWrite CLASS(EJBROLE) ID(TSGUEST) ACCESS(READ)
RDEFINE EJBROLE TESTSYS.CosNamingCreate UACC(NONE)
PERMIT TESTSYS.CosNamingCreate CLASS(EJBROLE) ID(TSGUEST) ACCESS(READ)
RDEFINE EJBROLE TESTSYS.CosNamingDelete UACC(NONE)
PERMIT TESTSYS.CosNamingDelete CLASS(EJBROLE) ID(TSGUEST) ACCESS(READ)
Définitions de profil CBIND pour les serveurs
RDEFINE CBIND CB.BIND.BBO* UACC(NONE)
RDEFINE CBIND CB.BIND.TSTC001 UACC(NONE)
PERMIT CB.BIND.BBO* CLASS(CBIND) ID(TSTCFG) ACCESS(CONTROL)
PERMIT CB.BIND.TSTC001 CLASS(CBIND) ID(TSTCFG) ACCESS(CONTROL)
RDEFINE CBIND CB.BBO* UACC(NONE)
RDEFINE CBIND CB.TSTC001 UACC(NONE)
RDEFINE CBIND CB.BIND.TESTSYS.BBO* UACC(NONE)
RDEFINE CBIND CB.BIND.TESTSYS.TSTC001 UACC(NONE)
PERMIT CB.BIND.TESTSYS.BBO* CLASS(CBIND) ID(TSTCFG) ACCESS(CONTROL)
PERMIT CB.BIND.TESTSYS.TSTC001 CLASS(CBIND) ID(TSTCFG) ACCESS(CONTROL)
RDEFINE CBIND CB.TESTSYS.BBO* UACC(NONE)
RDEFINE CBIND CB.TESTSYS.TSTC001 UACC(NONE)
- Si vous souhaitez créer un serveur spécifique dont le nom de travail, jobname, a un préfixe autre que BBO*, définissez un profil CBIND spécifique à l'aide des commandes RACF suivantes :
RDEFINE CBIND CB.BIND.TSTC002 UACC(NONE) PERMIT CB.BIND.TSTC002 CLASS(CBIND) ID(TSTCFG) ACCESS(CONTROL) RDEFINE CBIND CB.TSTC002 UACC(NONE)
- Les exemples créent des définitions de serveur avec des noms de serveur
spécifiques (mais un profil générique avec le préfixe de serveur BBO). Si vous avez créé
un autre préfixe de serveur et que vous souhaitez éviter les définitions CBIND supplémentaires,
ajoutez des profils CBIND génériques qui reflètent le nouveau nom en entrant les commandes RACF suivantes où TST représente le préfixe du nom de travail du serveur :
RDEFINE CBIND CB.BIND.TESTSYS.TST* UACC(NONE) PERMIT CB.BIND.TESTSYS.TST* CLASS(CBIND) ID(TSTCFG) ACCESS(CONTROL) RDEFINE CBIND CB.TESTSYS.TST* UACC(NONE)
- Le préfixe de profil SAF sépare les classes RACF (CBIND, EJBROLE, APPL), mais pas les
droits d'accès aux fichiers de configuration dans le système HFS
(Hierarchical File System). Par exemple, si :
- L'administrateur est WSADMIN dans le groupe WSCFG
- L'identité de la région serviteur est WASSRV (qui doit également appartenir au groupe WSCFG)
- L'utilisateur TOM dispose d'un accès en LECTURE au rôle EJBROLE TEST.administrator, mais pas au rôle EJBROLE PROD.administrator
- Une application malveillante fonctionnant sur le serveur d'applications TEST peut modifier des fichiers HFS dans la cellule PROD. En effet, le serveur TEST fonctionne avec l'ID utilisateur WASSRV qui appartient au groupe WSCFG. Les fichiers HFS TEST et PROD peuvent tous deux être modifiés par le groupe WSCFG. Pour une protection maximale, PROD doit être créé et associé avec un autre groupe RACF que TEST. En outre, envisagez d'activer le serveur d'applications et la synchronisation d'identitié d'unité d'exécution z/OS. Ce processus garantit que ces services système z/OS, tels que l'écriture dans le système HFS, sont exécutés en utilisant l'identité Java™ Platform, Enterprise Edition (Java EE) au lieu de l'identité de région du serviteur. Pour plus d'informations, lisez les informations relatives aux options de sécurité z/OS.