[z/OS]

Resumo de Controles

Cada controlador, servant e cliente deve ter seu próprio ID de usuário MVS. Quando um pedido flui de um cliente para o cluster ou de um cluster para um cluster, o WebSphere Application Server para z/OS transmite a identidade do usuário (cliente ou cluster) com o pedido. Portanto, cada pedido é feito em nome da identidade do usuário e o sistema verifica se a identidade do usuário tem a autoridade para fazer esse pedido. As tabelas descrevem as autorizações do System Authorization Facility (SAF) e não SAF.

Resumo de controles de segurança do z/OS independente da configuração de segurança administrativa

Em uma configuração do WebSphere Application Server para z/OS, há vários tipos de processos:
  • Gerenciadores de Implementação
  • Agentes de Nós
  • Daemons do Serviço de Localização
  • WebSphere Application Servers
Cada um desses pode ser visualizado como um processo ou um par de processos do controlador do WebSphere Application Server para z/OS (um controlador e servant).

Cada controlador e servant deve ser executado com um ID de usuário MVS válido designado como parte da definição de uma tarefa iniciada. Esse ID de usuário MVS deve ter uma UID (identidade do usuário) de Serviços do Sistema UNIX e estar conectado ao grupo de configuração do WebSphere, que seja comum a todos os servidores da célula com uma GID (identidade de grupo) MVS e de Serviços do Sistema UNIX.

A tabela a seguir resume os controles que são usados para conceder as autorizações necessárias para que esses controladores e servidores possam acessar recursos do sistema operacional. Ao entender e utilizar esses controles, é possível controlar todos os acessos de recursos no WebSphere Application Server para z/OS.
Tabela 1. Resumo de Controles e Autorizações SAF.

Esta tabela contém um resumo de controles e suas autorizações SAF.

Control Autorização
Classe DATASET Acesso a conjuntos de dados
Classe DSNR Acesso ao DB2 (Database 2)
Classe FACILITY (BPX.WLMSERVER) Acesso o perfil BPX.WLMSERVER para executar o gerenciamento de enclave WLM (Workload Manager) no servant. Sem esse acesso, a classificação não é executada.
Classe FACILITY (IMSXCF.OTMACI) Acesso ao OTMA (Open Transaction Manager Access) para IMS (Information Management System) e acesso ao perfil BPX.WLMSERVER
Permissões de arquivos HFS Acesso a arquivos HFS (Hierarchical File System)
Classe LOGSTRM Acesso a fluxos de logs
Classe OPERCMDS Acesso ao script de shell startServer.sh e JMSProvider Integral
Classe SERVER Acesso ao controlador por um servant
Classe STARTED ID de usuário associado (e opcionalmente ID de grupo) para iniciar o procedimento
Classe SURROGAT (*.DFHEXCI) Acesso a EXCI para acesso ao CICS (Customer Information Control System)

O WebSphere z/OS Profile Management Tool ou o comando zpmt e as tarefas de customização Resource Access Control Facility (RACF) definem estes como configurações iniciais para os perfis *'ed.

Nota: Exemplos de autorizações para os outros perfis podem ser localizadas no arquivo exec gerado em HLQ.DATA(BBOWBRAC). A seleção de uma identidade a ser utilizada para autorização dos recursos nativos do conector (CICS, DB2, IMS) depende de:
  • Tipo de conector
  • Definição de autenticação de recursos (resAuth) do aplicativo implementado
  • Disponibilidade de um alias
  • Configuração de segurança
Os gerenciadores de recursos, como DB2, IMS e CICS possuem seus próprios controles de recursos implementados, que controlam a capacidade dos clientes para acessar os recursos. Quando os controles de recursos são utilizados pelo DB2, utilize a classe DSNR RACF (se possuir suporte para RACF) ou emita as instruções GRANT relevantes do DB2. É possível:
  • Acesse o OTMA para IMS por meio da Classe FACILITY (IMSXCF.OTMACI)
  • Acesse EXCI para CICS por meio da classe SURROGAT (*.DFHEXCI)
  • Controlar acesso aos conjuntos de dados através da classe DATASET e os arquivos HFS através de permissão de arquivo

Observe que a Autorização MVS SAF para todos os outros recursos do subsistema MVS acessados pelos aplicativos J2EE é normalmente executada usando a identidade do ID do usuário MVS do servant. Consulte Identidade do Java Platform, Enterprise Edition e Identidade de Encadeamento do Sistema Operacional para obter informações adicionais.

O perfil BPX.WLMSERVER na classe FACILITY é usado para autorizar um espaço de endereço para usar os serviços de tempo de execução do Language Environment (LE) que fazem interface com o gerenciamento de carga de trabalho (WLM) para a execução do gerenciamento de carga de trabalho em uma região do servidor. Esses serviços de tempo de execução do LE são usados pelo WebSphere Application Server para extrair informações de classificação de enclaves e para gerenciar a associação de trabalho com um Enclave. Como as interfaces não autorizadas são utilizadas para manipular enclaves WLM para o trabalho da região de servidor que não foi transmitido de um controlador para um servant, os servants do WebSphere Application Server devem ter acesso READ permitido para esse perfil. Sem essa permissão, as tentativas de criar, excluir, unir ou deixar um enclave WLM falhará com java.lang.SecurityException.

Resumo de controles de segurança do z/OS em vigor quando a segurança administrativa e do aplicativo estiverem ativadas

Quando as seguranças administrativa e de aplicativos estão ativadas, o SSL deve estar disponível para criptografia e proteção de mensagens. Além disso, a autenticação e autorização de clientes J2EE e administrativos está ativada.

A autorização da classe FACILITY, necessária para serviços SSL, e a definição de conjuntos de chaves SAF são requeridas quando a segurança administrativa está ativada.

Quando um pedido flui de um cliente para o WebSphere Application Server ou de um cluster para um cluster, o WebSphere Application Server para z/OS transmite a identidade do usuário (cliente ou cluster) com o pedido. Portanto, cada pedido é feito em nome da identidade do usuário e o sistema verifica se a identidade do usuário tem a autoridade para fazer esse pedido. As tabelas descrevem autorizações específicas do z/OS usando SAF.

A tabela a seguir resume os controles usados para conceder autorizações para recursos. Ao entender e utilizar esses controles, é possível controlar acesso a todos os recursos no WebSphere Application Server para z/OS.
Tabela 2. Resumo de Controles e Autorizações SAF.

Esta tabela contém um resumo de controles e suas autorizações SAF.

Control Autorização
Classe CBIND Acesso a um cluster
Classe EJBROLE ou GEJBROLE Acesso a métodos em beans corporativos
Classe FACILITY (IRR.DIGTCERT.LIST e IRR.DIGTCERT.LISTRING) Certificados, mapeamentos e conjuntos de chaves SSL
Classe FACILITY (IRR.RUSERMAP) Credenciais do Kerberos
Classe FACILITY (BBO.SYNC) Ativa Sincronização Permitida para Encadeamento do S.O.
Classe FACILITY (BBO.TRUSTEDAPPS) Ativa aplicativos confiáveis
Classe SURROGAT (BBO.SYNC) Ativa Sincronização Permitida para Encadeamento do S.O.
Classe PTKTDATA Ativação de PassTicket no sysplex
Definir Identidade do Encadeamento do S.O. para Identidade RunAs Propriedade do cluster J2EE utilizada para ativar a identidade inicial para recursos não-J2EE

Ícone que indica o tipo de tópico Tópico de Referência



Ícone de registro de data e hora Última atualização: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rsec_sumofcontrol
Nome do arquivo: rsec_sumofcontrol.html