![[z/OS]](../images/ngzos.gif)
Conseils d'utilisation de la fonction RACF (Resource Access Control Facility) pour personnaliser WebSphere Application Server
Il est important de comprendre les mécanismes de sécurité utilisés pour protéger les ressources du serveur à l'aide des classes CBIND, SERVER et STARTED de la fonctionnalité RACF (ou de tout autre logiciel de sécurité). Ce document décrit ces mécanismes, ainsi que des techniques de gestion de l'environnement de sécurité.
- CBIND : Accès aux serveurs et aux objets des serveurs
- SERVER : Accès aux régions du contrôleur par les régions du serveur
- STARTED : Association d'ID utilisateur et de groupes aux procédures lancées (STC)
Vous devez ajouter les droits d'accès et les profils RACF requis pour un autre serveur dans votre cellule.
Vous pouvez définir l'ensemble minimal d'utilisateurs, de groupes et de profils pour un environnement de test (où la sécurité des serveurs individuels n'est pas l'objectif principal).
Profils RACF (CBIND, SERVER et STARTED) : des informations de base sur les profils RACF utilisés par WebSphere sont disponibles dans Classes et profils de SAF (System Authorization Facility). Cette section présente des détails supplémentaires sur les profils de classe CBIND, SERVER et STARTED.
CR = Controller Region
SR = Servant Region
CFG = Configuration (group)
server = server short name
cluster = generic server (short) name (also called cluster transition name)
<CR_userid> <CR_groupid>, <CFG_groupid>
<SR_userid> <SR_groupid>, <CFG_groupid>
<demn_userid> <demn_groupid>, <CFG_groupid>
<admin_userid> <CFG_groupid>
<client_userid> <client_groupid>
<ctracewtr_userid> <ctracewtr_groupid>
Vous trouverez ci-dessous les profils utilisés pour protéger les serveurs et les ressources WebSphere, ainsi que les droits d'accès et les niveaux d'accès correspondants.
CBIND Class profiles - access to generic servers
CB.BIND.<cluster> UACC(READ); PERMIT <CR_group> ACC(CONTROL)
CBIND Class profiles - access to objects in servers
CB.<cluster> UACC(READ) PERMIT <CR_group> ACC(CONTROL)
Profils de classe SERVER : Il existe actuellement deux formats de profils de classe SERVER pour la protection de l'accès aux régions du contrôleur du serveur. Vous devez définir un seul format de profil SERVER qui dépend de la prise en charge ou non de l'environnement DAE (Dynamic Application Environment). Il convient pour cela d'utiliser WLM DAE APAR OW54622, compatible avec z/OS V1R2 ou version ultérieure.
- La commande suivante fournit l'accès aux contrôleurs à l'aide d'environnements d'applications statiques (sans support APAR) : RDEFINE CB.&<server>.&<cluster> UACC(NONE); PERMIT &<IDutilisateur_SR> ACC(READ) Dans cet exemple, server = nom du serveur, cluster = nom du cluster ou nom de transition du cluster si un cluster n'a pas encore été créé, et SR = l'ID utilisateur MVS de la région du serveur.
- The following command provides access to controllers using dynamic Application Environments (with the WLM DAE APAR support): CB.&<server>.&<cluster>.<cell> UACC(NONE); PERMIT &<SR_userid> ACC(READ) For this example, server = server name, cluster = cluster name or cluster transition name if a cluster has not yet been created, cell = cell short name, and SR = the MVS user ID of the Server Region.
STARTED Class profiles - (MGCRE)
<<CR_proc>.<CR_jobname> STDATA(USER(CR_userid) GROUP(CFG_groupid))
<demn_proc>.* STDATA(USER(demn_userid) GROUP(CFG_groupid))
STARTED Class profiles - (ASCRE)
<SR_jobname>.<SR_jobname> STDATA(USER(SR_userid) GROUP(CFG_groupid))
STARTED Class profiles for IJP - (MGCRE)
<MQ_ssname>.* STDATA(USER(IJP_userid) GROUP(CFG_groupid))
Génération d'ID utilisateur et de profils pour un nouveau serveur : Si vous souhaitez utiliser des ID utilisateur uniques pour chaque nouveau serveur d'applications, vous devez définir ces utilisateurs, groupes et profils dans la base de données RACF.
- Si vous souhaitez utiliser des ID utilisateurs uniques pour les nouveaux serveurs, définissez trois nouveaux utilisateurs et connectez-les aux groupes suivants :
<New_CR_userid> <CR_groupid>, <CFG_groupid> <New_SR_userid> <SR_groupid>, <CFG_groupid> <New_client_userid> <client_groupid>
- Profils de classe CBIND pour le nouveau cluster (nom abrégé du serveur générique) :
CB.BIND.<New_cluster> CB.<New_cluster>
- Profils de classe SERVER pour le nouveau serveur et cluster :
CB.<New_server>.<New_cluster> CB.<New_server>.<New_cluster>.<cell>
- Profils de classe STARTED pour le contrôleur du nouveau serveur et les régions du serveur :
<CR_proc>.<New_CR_jobname> STDATA(USER(New_CR_userid) GROUP(CFG_groupid)) <New_SR_jobname>.* STDATA(USER(New_SR_userid) GROUP(CFG_groupid))
/* CBIND Class profiles (UACC) - access to generic servers */
CB.BIND.T5CL* UACC(READ); PERMIT ID(T5GRP) ACC(CONTROL)
/* CBIND Class profiles (UACC) - access to objects in servers */
CB.T5CL* UACC(READ); PERMIT ID(T5GRP) ACC(CONTROL)
/* SERVER Class profiles - access to controllers (old style) */
CB.*.T5CL* UACC(NONE); PERMIT ID(T5USR) ACC(READ)
/* SERVER Class profiles - acc to controllers (new style) */
CB.*.*.T5CELL UACC(NONE); PERMIT ID(T5USR) ACC(READ)
/* STARTED Class profiles - (MGCRE) - for STCs, except servants */
T5ACR.* STDATA(USER(T5USR) GROUP(T5GRP)) /* controller*/
T5DMN.* STDATA(USER(T5USR) GROUP(T5GRP)) /* daemon */
T5CTRW.* STDATA(USER(T5USR) GROUP(T5GRP)) /* CTrace WTR*/
WMQX*.* STDATA(USER(T5USR) GROUP(T5GRP)) /* IJP */
/* STARTED Class profiles - (ASCRE - for servants) */
T5SRV*.* STDATA(USER(T5USR) GROUP(T5GRP)) /* servant */