![[z/OS]](../images/ngzos.gif)
Récapitulatif des contrôles
Chaque contrôleur, servant et client doit posséder son propre ID utilisateur MVS. Lorsqu'une requête est transmise d'un client vers le cluster ou d'un cluster à un autre cluster, WebSphere Application Server for z/OS transmet l'identité utilisateur (client ou cluster) avec la requête. Par conséquent, chaque requête est effectuée au nom de l'identité de l'utilisateur et le système vérifie si l'identité de l'utilisateur est associée à des droits d'accès lui permettant d'adresser une telle requête. Les tableaux présentent les droits d'accès SAF (System Authorization Facility) et non-SAF.
Récapitulatif des contrôles de sécurité z/OS indépendamment du paramètre de sécurité administrative
- Gestionnaires de déploiement
- Agents de noeud
- Démons du service de localisation
- Serveurs d'applications WebSphere
Chaque contrôleur et chaque servant doit s'exécuter sous un ID utilisateur MVS valide assigné dans le cadre de la définition d'une tâche démarrée. Cet ID utilisateur MVS doit avoir un ID services système UNIX valide et être connecté au groupe de configuration WebSphere commun à tous les serveurs de la cellule avec un MVS et une identité de groupe services système UNIX valides .
Contrôle | Autorisation |
---|---|
Classe DATASET | Accès aux ensembles de données |
Classe DSNR | Accès à DB2 (Database 2) |
Classe FACILITY (BPX.WLMSERVER) | Accès au profil BPX.WLMSERVER pour effectuer une gestion de l'enclave Workload Manager (WLM) dans le processus servant. Sans cet accès, aucune classification n'est effectuée. |
Classe FACILITY (IMSXCF.OTMACI) | Accès à OTMA (Open Transaction Manager Access) pour le système IMS (Information Management System) et au profil BPX.WLMSERVER |
Droits d'accès aux fichiers HFS | Accès aux fichiers HFS (Hierarchical File System) |
Classe LOGSTRM | Accès aux flots de consignation |
Classe OPERCMDS | Accès au script shell startServer.sh et à Integral JMSProvider |
Classe SERVER | Accès au contrôleur par un processus servant |
Classe STARTED | Association d'un ID utilisateur (et éventuellement un ID groupe) pour démarrer la procédure |
Classe SURROGAT (*.DFHEXCI) | Accès à EXCI pour l'accès CICS (Customer Information |
Les travaux de personnalisation de l'outil de gestion des profils WebSphere z/OS ou de la commande zpmt et RACF (Resource Access Control Facility) les définissent pour les paramètres de serveur initiaux relatifs aux profils *'ed.
- Type de connecteur
- Paramètre d'authentification de ressource (resAuth) de l'application déployée
- Disponibilité d'un alias
- Paramètre de sécurité
- Accéder à OTMA pour IMS à l'aide de la classe FACILITY (IMSXCF.OTMACI)
- Accéder à EXCI pour CICS à l'aide de la classe SURROGAT (*.DFHEXCI)
- contrôler l'accès aux ensembles de données à l'aide de la classe DATASET et aux fichiers HFS avec des droits d'accès de fichier
Remarque : Les droits d'accès MVS SAF de l'ensemble des ressources de sous-système MVS auxquelles des applications J2EE accèdent sont généralement appliquées à l'aide de l'identité de l'ID utilisateur MVS. Pour plus d'informations, voir Java Platform, identité Enterprise Edition et identité d'unité d'exécution du système.
Le profil BPX.WLMSERVER de la classe FACILITY est utilisé pour autoriser un espace d'adresse à utiliser les services d'exécution LE (Language Environment) qui forment une interface avec la gestion de charge de travail dans une région de serveur. Ces services d'exécution LE sont utilisés par WebSphere Application Server pour extraire des informations de classification des enclaves ainsi que pour gérer l'association de travail avec une enclave. Les interfaces non autorisées étant utilisées afin de manipuler des enclaves WLM pour les travaux de la région du serveur qui n'ont pas été transmis d'un contrôleur à un servant, les servants WebSphere Application Server doivent disposer d'un accès en lecture à ce profil. Sans ce droit d'accès, toute tentative de création, suppression, jonction ou abandon d'une enclave WLM échoue avec une erreur java.lang.SecurityException.
Récapitulatif des contrôles de sécurité z/OS en vigueur lorsque la sécurité administrative et la sécurité d'application sont activées
Lorsque la sécurité administrative et la sécurité d'application sont activées, le protocole SSL doit être disponible pour le chiffrement et la protection des messages. En outre, l'authentification et l'autorisation de J2EE et des clients administratifs sont activées.
L'autorisation de classe FACILITY nécessaire aux services SSL et la définition des fichiers de clés SAF sont obligatoires lorsque la sécurité administrative est activée.
Lorsqu'une requête passe d'un client à WebSphere Application Server ou d'un cluster à un autre, WebSphere Application Server for z/OS transmet l'identité utilisateur (client ou cluster) avec la requête. Par conséquent, chaque requête est effectuée au nom de l'identité de l'utilisateur et le système vérifie si l'identité de l'utilisateur est associé à des droits d'accès lui permettant d'adresser une telle requête. Les tableaux présentent les droits d'accès z/OS utilisant SAF.
Contrôle | Autorisation |
---|---|
Classe CBIND | Accès à un cluster |
Classe EJBROLE ou GEJBROLE | Accès aux méthodes dans les beans enterprise |
Classe FACILITY (IRR.DIGTCERT.LIST et IRR.DIGTCERT.LISTRING) | Fichiers de clés, certificats et mappages SSL |
Classe FACILITY (IRR.RUSERMAP) | Justificatifs Kerberos |
Classe FACILITY (BBO.SYNC) | Active Synchronisation autorisée avec l'unité d'exécution du système |
Classe FACILITY (BBO.TRUSTEDAPPS) | Active les applications sécurisées |
Classe SURROGAT (BBO.SYNC) | Active Synchronisation autorisée avec l'unité d'exécution du système |
Classe PTKTDATA | PassTicket activé dans le sysplex |
Définir l'identité de l'unité d'exécution du système d'exploitation sur et OS Thread RunAs Identity | Propriété de cluster J2EE utilisé pour activer l'identité de démarrage des ressources non-J2EE |