[z/OS]

Préfixes de profil SAF et travaux de personnalisation

Vous pouvez configurer un préfixe de profil SAF (System Authorization Facility), auparavant appelé domaine de sécurité z/OS, en utilisant l'outil de gestion des profils z/OS.

Un préfixe de profil SAF permet à une installation d'ajouter un préfixe aux profils SAF qui représente leurs rôles. Par exemple, une installation peut définir une classe SAF EJBRole et un profil SAF myPrefix.administrator. Un préfixe de profil SAF peut être défini pour l'ensemble de la cellule ou au niveau de granularité du domaine de sécurité WebSphere des autorisations de sécurité. Préfixes SAF de profil :
  • Fournissent une granularité au niveau du domaine WebSphere des rôles
  • Permettent à différents administrateurs d'être affectés pour un test et la production
  • Sont utilisés comme profil APPL pour les serveurs dans le domaine de sécurité WebSphere

Pour personnaliser vos paramètres, vous pouvez définir un préfixe de profil SAF à l'aide de l'outil de gestion des profils z/OS, ou du panneau Options d'autorisation SAF de la console d'administration. Cela propose un nouvel ensemble d'exemples de travaux de personnalisation RACF (Resource Access Control Facility) devant être exécutés une seule fois, après la création du domaine.

Les profils RACF créés et vérifiés de manière différente pour cette raison sont les suivants :
  • CBIND
  • EJBROLE
  • APPL
Utilisez les profils CBIND pour restreindre l'accès aux serveurs si aucun autre profil spécifique n'est défini. S'il n'existe pas de préfixe de profil SAF, entrez les commandes RACF suivantes :
/*  CBIND profiles in case no server definition is set         */
"RDEFINE CBIND CB.BIND.* UACC(NONE)"  
"RDEFINE CBIND CB.* UACC(NONE)"
Si un préfixe de profil SAF est défini en tant que TESTSYS, entrez :
/*  CBIND CB.BIND.domain_name.                                  */
"RDEFINE CBIND CB.BIND.TESTSYS.* UACC(NONE)"  
"RDEFINE CBIND CB.TESTSYS.* UACC(NONE)"

Utilisez un profil APPL pour protéger WebSphere Application Server pour z/OS. Les exemples de profil peuvent accorder un certain niveau d'accès APPL à tout utilisateur si vous utilisez les droits d'accès universels, UACC, et autorisez l'accès au groupe de configuration, aux ID utilisateur non authentifiés et à tous les ID utilisateur WebSphere Application Server pour z/OS valides. Les droits UACC(NONE) accordent l'accès par défaut NONE à tout le monde. Vous pouvez spécifier l'utilisation du profil de classe APPL pour l'autorisation en cochant la case définissant l'"utilisation du profil APPL pour limiter l'accès au serveur", sur le panneau des options d'autorisation SAF de la console d'administration.

Par exemple, s'il n'existe pas de préfixe de profil SAF, entrez les commandes RACF suivantes :
RDEFINE APPL CBS390 UACC(NONE)
PERMIT CBS390 CLASS(APPL) ID(TSCLGP) ACCESS(READ)
En outre, s'il existe un préfixe de profil SAF défini en tant que TESTSYS, par exemple, entrez :
RDEFINE APPL TESTSYS UACC(NONE)
PERMIT TESTSYS CLASS(APPL) ID(TSCLGP) ACCESS(READ)

Les profils EJBROLE suivants sont définis pour les vérifications des autorisations basées sur les rôles s'il n'existe pas de préfixe de profil SAF et si le groupe de configuration est défini comme étant TSTCFG. Notez qu'il s'agit de l'ensemble minimal d'utilisateurs nécessitant un accès aux rôles de nommage et d'administration lorsque le mécanisme d'autorisation SAF (System Authorization Facility) est sélectionné.

Les rôles suivants doivent être définis pour la sécurité du système d'exploitation et des applications. Entrez les commandes RACF suivantes :
RDEFINE EJBROLE administrator UACC(NONE)
RDEFINE EJBROLE monitor       UACC(NONE)
RDEFINE EJBROLE configurator UACC(NONE)
RDEFINE EJBROLE  operator     UACC(NONE)
RDEFINE EJBROLE  deployer     UACC(NONE)
RDEFINE EJBROLE  adminsecuritymanager     UACC(NONE)
RDEFINE EJBROLE  auditor      UACC(NONE)

PERMIT administrator  CLASS(EJBROLE)  ID(TSTCFG) ACCESS(READ)
PERMIT auditor        CLASS(EJBROLE)  ID(TSTCFG) ACCESS(READ)
PERMIT adminsecuritymanager       CLASS(EJBROLE)  ID(TSTCFG) ACCESS(READ)

/* Setting up EJBRoles Profiles for Naming roles             */
RDEFINE EJBROLE CosNamingRead   UACC(NONE)
PERMIT CosNamingRead  CLASS(EJBROLE)  ID(TSGUEST) ACCESS(READ)
RDEFINE EJBROLE CosNamingWrite  UACC(NONE)
PERMIT CosNamingWrite  CLASS(EJBROLE)  ID(TSGUEST) ACCESS(READ)
RDEFINE EJBROLE CosNamingCreate UACC(NONE)
PERMIT CosNamingCreate  CLASS(EJBROLE)  ID(TSGUEST) ACCESS(READ)
RDEFINE EJBROLE CosNamingDelete UACC(NONE)
PERMIT CosNamingDelete  CLASS(EJBROLE)  ID(TSGUEST) ACCESS(READ)
S'il existe un préfixe de profil SAF défini en tant que TESTSYS et que le groupe de configuration est TSTCFG, entrez les commandes RACF suivantes :
RDEFINE EJBROLE TESTSYS.administrator UACC(NONE)
RDEFINE EJBROLE TESTSYS.monitor       UACC(NONE)
RDEFINE EJBROLE TESTSYS.configurator  UACC(NONE)
RDEFINE EJBROLE TESTSYS.operator      UACC(NONE)
RDEFINE EJBROLE TESTSYS.deployer      UACC(NONE)
RDEFINE EJBROLE TESTSYS.adminsecuritymanager     UACC(NONE)
RDEFINE EJBROLE TESTSYS.auditor      UACC(NONE)

PERMIT TESTSYS.administrator  CLASS(EJBROLE)  ID(TSTCFG) ACCESS(READ)
PERMIT TESTSYS.auditor        CLASS(EJBROLE)  ID(TSTCFG) ACCESS(READ)
PERMIT TESTSYS.adminsecuritymanager        CLASS(EJBROLE)  ID(TSTCFG) ACCESS(READ)

/* Setting up EJBRoles Profiles for Naming roles         */
RDEFINE EJBROLE TESTSYS.CosNamingRead   UACC(NONE)
PERMIT TESTSYS.CosNamingRead  CLASS(EJBROLE)  ID(TSGUEST) ACCESS(READ)
RDEFINE EJBROLE TESTSYS.CosNamingWrite  UACC(NONE)
PERMIT TESTSYS.CosNamingWrite  CLASS(EJBROLE)  ID(TSGUEST) ACCESS(READ)
RDEFINE EJBROLE TESTSYS.CosNamingCreate UACC(NONE)
PERMIT TESTSYS.CosNamingCreate  CLASS(EJBROLE)  ID(TSGUEST) ACCESS(READ)
RDEFINE EJBROLE TESTSYS.CosNamingDelete UACC(NONE)
PERMIT TESTSYS.CosNamingDelete  CLASS(EJBROLE)  ID(TSGUEST) ACCESS(READ)

Définitions de profil CBIND pour les serveurs

S'il n'existe pas de préfixe de profil SAF, entrez les commandes RACF suivantes :
RDEFINE CBIND CB.BIND.BBO* UACC(NONE)
RDEFINE CBIND CB.BIND.TSTC001 UACC(NONE)
PERMIT CB.BIND.BBO* CLASS(CBIND) ID(TSTCFG) ACCESS(CONTROL)
PERMIT CB.BIND.TSTC001 CLASS(CBIND) ID(TSTCFG) ACCESS(CONTROL)
RDEFINE CBIND CB.BBO* UACC(NONE)
RDEFINE CBIND CB.TSTC001 UACC(NONE)
Si un préfixe de profil SAF est défini en tant que TESTSYS, entrez :
RDEFINE CBIND CB.BIND.TESTSYS.BBO* UACC(NONE)
RDEFINE CBIND CB.BIND.TESTSYS.TSTC001 UACC(NONE)
PERMIT CB.BIND.TESTSYS.BBO* CLASS(CBIND) ID(TSTCFG) ACCESS(CONTROL)
PERMIT CB.BIND.TESTSYS.TSTC001 CLASS(CBIND) ID(TSTCFG) ACCESS(CONTROL)
RDEFINE CBIND CB.TESTSYS.BBO* UACC(NONE)
RDEFINE CBIND CB.TESTSYS.TSTC001 UACC(NONE)
Remarque :
  • Si vous souhaitez créer un serveur spécifique dont le nom de travail, jobname, a un préfixe autre que BBO*, définissez un profil CBIND spécifique à l'aide des commandes RACF suivantes :
    RDEFINE CBIND CB.BIND.TSTC002 UACC(NONE)
    PERMIT CB.BIND.TSTC002 CLASS(CBIND) ID(TSTCFG) ACCESS(CONTROL)
    RDEFINE CBIND CB.TSTC002 UACC(NONE)
  • Les exemples créent des définitions de serveur avec des noms de serveur spécifiques (mais un profil générique avec le préfixe de serveur BBO). Si vous avez créé un autre préfixe de serveur et que vous souhaitez éviter les définitions CBIND supplémentaires, ajoutez des profils CBIND génériques qui reflètent le nouveau nom en entrant les commandes RACF suivantes où TST représente le préfixe du nom de travail du serveur :
    RDEFINE CBIND CB.BIND.TESTSYS.TST* UACC(NONE)
    PERMIT CB.BIND.TESTSYS.TST* CLASS(CBIND) ID(TSTCFG) ACCESS(CONTROL)
    RDEFINE CBIND CB.TESTSYS.TST* UACC(NONE)
Remarque :
  • Le préfixe de profil SAF sépare les classes RACF (CBIND, EJBROLE, APPL), mais pas les droits d'accès aux fichiers de configuration dans le système HFS (Hierarchical File System). Par exemple, si :
    • L'administrateur est WSADMIN dans le groupe WSCFG
    • L'identité de la région serviteur est WASSRV (qui doit également appartenir au groupe WSCFG)
    • L'utilisateur TOM dispose d'un accès en LECTURE au rôle EJBROLE TEST.administrator, mais pas au rôle EJBROLE PROD.administrator
    TOM ne peut pas utiliser l'application d'administration pour modifier la cellule PROD.
  • Une application malveillante fonctionnant sur le serveur d'applications TEST peut modifier des fichiers HFS dans la cellule PROD. En effet, le serveur TEST fonctionne avec l'ID utilisateur WASSRV qui appartient au groupe WSCFG. Les fichiers HFS TEST et PROD peuvent tous deux être modifiés par le groupe WSCFG. Pour une protection maximale, PROD doit être créé et associé avec un autre groupe RACF que TEST. En outre, envisagez d'activer le serveur d'applications et la synchronisation d'identitié d'unité d'exécution z/OS. Ce processus garantit que ces services système z/OS, tels que l'écriture dans le système HFS, sont exécutés en utilisant l'identité Java™ Platform, Enterprise Edition (Java EE) au lieu de l'identité de région du serviteur. Pour plus d'informations, lisez les informations relatives aux options de sécurité z/OS.

Icône indiquant le type de rubrique Rubrique de concept



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=csec_safsecdom
Nom du fichier : csec_safsecdom.html