[z/OS]

Prefixos de Perfil do SAF e as Tarefas de Customização

Você pode configurar um prefixo de perfil do SAF (System Authorization Facility), anteriormente chamado de domínio de segurança do z/OS, utilizando o z/OS Profile Management Tool.

Um prefixo do perfil do SAF permite uma instalação para incluir um prefixo nos perfis do SAF que representem suas funções. Por exemplo, uma instalação pode definir a classe do SAF EJBRole um perfil do SAF de myPrefix.administrator. Um prefixo de perfil do SAF pode ser definido para a célula toda ou pode ser definido na granularidade de nível de domínio de segurança do WebSphere de permissões de segurança. Prefixos de perfil do SAF:
  • Fornecem granularidade de nível de domínio de segurança do WebSphere de funções
  • Permitem que diferentes administradores sejam designados para teste e produção
  • São usados como o perfil APPL para servidores no domínio de segurança do WebSphere

Você pode configurar um prefixo de perfil do SAF utilizando a ferramenta z/OS Profile Management Tool para customizar suas configurações ou no painel de opções de autorização SAF no console administrativo. Isso fornece um novo conjunto de amostra de tarefas de customização do RACF (Resource Access Control Facility) que deverão ser executadas somente uma vez, quando o domínio for criado.

Os perfis do RACF que são criados e verificados de forma diferente por causa disso são:
  • CBIND
  • EJBROLE
  • APPL
Utilize os perfis CBIND para restringir o acesso aos servidores se nenhum outro perfil específico for configurado. Se não houver prefixo de perfil do SAF, insira os seguintes comandos do RACF:
/*  perfis de CBIND no caso de nenhuma definição do servidor estar configurada         */
"RDEFINE CBIND CB.BIND.* UACC(NONE)"  
"RDEFINE CBIND CB.* UACC(NONE)"
Se houver um prefixo de perfil do SAF definido como TESTSYS, digite:
/*  CBIND CB.BIND.domain_name.                                  */
"RDEFINE CBIND CB.BIND.TESTSYS.* UACC(NONE)"  
"RDEFINE CBIND CB.TESTSYS.* UACC(NONE)"

Utilize um perfil APPL para proteger o WebSphere Application Server para z/OS. Perfis de amostra podem conceder um determinado nível de acesso APPL a todas as pessoas, se você usar a autoridade de acesso universal, UACC, e conceder acesso ao grupo de configurações, a IDs de usuário não autenticados e a todos IDs de usuário válidos do WebSphere Application Server para z/OS. Um UACC(NONE) dará um acesso padrão de NONE a todas as pessoas. É possível controlar se o perfil de classe APPL é usado para a autorização por meio da configuração da caixa de seleção denominada "Usar o perfil APPL para restringir o acesso ao servidor" no painel de opções de autorização SAF no console administrativo.

Por exemplo, se não houver prefixo de perfil do SAF, digite os seguintes comandos do RACF:
RDEFINE APPL CBS390 UACC(NONE)
PERMIT CBS390 CLASS(APPL) ID(TSCLGP) ACCESS(READ)
E se houver um prefixo de perfil do SAF definido como TESTSYS, por exemplo, digite:
RDEFINE APPL TESTSYS UACC(NONE)
PERMIT TESTSYS CLASS(APPL) ID(TSCLGP) ACCESS(READ)

Os seguintes perfis EJBROLE são definidos para verificações de autorização baseada em função se não houver nenhum perfil de prefixo SAF e o grupo de configurações estiver definido como TSTCFG. Observe que esses são conjuntos mínimos de usuários requerendo acesso a funções de nomenclatura e administrativas quando a autorização System Authorization Facility (SAF) estiver selecionada.

As funções a seguir devem ser definidas para o sistema operacional e a segurança do aplicativo. Digite os seguintes comandos do RACF:
RDEFINE EJBROLE administrator UACC(NONE)
RDEFINE EJBROLE monitor       UACC(NONE)
RDEFINE EJBROLE configurator UACC(NONE)
RDEFINE EJBROLE  operator     UACC(NONE)
RDEFINE EJBROLE  deployer     UACC(NONE)
RDEFINE EJBROLE  adminsecuritymanager     UACC(NONE)
RDEFINE EJBROLE  auditor      UACC(NONE)

PERMIT administrator  CLASS(EJBROLE)  ID(TSTCFG) ACCESS(READ)
PERMIT auditor                    CLASS(EJBROLE)  ID(TSTCFG) ACCESS(READ)
PERMIT adminsecuritymanager       CLASS(EJBROLE)  ID(TSTCFG) ACCESS(READ)

/* Configurando Perfis EJBRoles para funções de Nomenclatura                     */
RDEFINE EJBROLE CosNamingRead   UACC(NONE)
PERMIT CosNamingRead  CLASS(EJBROLE)  ID(TSGUEST) ACCESS(READ)
RDEFINE EJBROLE CosNamingWrite  UACC(NONE)
PERMIT CosNamingWrite  CLASS(EJBROLE)  ID(TSGUEST) ACCESS(READ)
RDEFINE EJBROLE CosNamingCreate UACC(NONE)
PERMIT CosNamingCreate  CLASS(EJBROLE)  ID(TSGUEST) ACCESS(READ)
RDEFINE EJBROLE CosNamingDelete UACC(NONE)
PERMIT CosNamingDelete  CLASS(EJBROLE)  ID(TSGUEST) ACCESS(READ)
Se houver um prefixo de perfil do SAF definido como TESTSYS e o grupo de configuração estiver definido como TSTCFG, digite os seguintes comandos do RACF:
RDEFINE EJBROLE TESTSYS.administrator UACC(NONE)
RDEFINE EJBROLE TESTSYS.monitor       UACC(NONE)
RDEFINE EJBROLE TESTSYS.configurator UACC(NONE)
RDEFINE EJBROLE TESTSYS.operator     UACC(NONE)
RDEFINE EJBROLE TESTSYS.deployer     UACC(NONE)
RDEFINE EJBROLE TESTSYS.adminsecuritymanager     UACC(NONE)
RDEFINE EJBROLE TESTSYS.auditor      UACC(NONE)

PERMIT TESTSYS.administrator  CLASS(EJBROLE)  ID(TSTCFG) ACCESS(READ)
PERMIT TESTSYS.auditor                     CLASS(EJBROLE)  ID(TSTCFG) ACCESS(READ)
PERMIT TESTSYS.adminsecuritymanager        CLASS(EJBROLE)  ID(TSTCFG) ACCESS(READ)

/* Configurando Perfis EJBRoles para funções de Nomenclatura                     */
RDEFINE EJBROLE TESTSYS.CosNamingRead   UACC(NONE)
PERMIT TESTSYS.CosNamingRead  CLASS(EJBROLE)  ID(TSGUEST) ACCESS(READ)
RDEFINE EJBROLE TESTSYS.CosNamingWrite  UACC(NONE)
PERMIT TESTSYS.CosNamingWrite  CLASS(EJBROLE)  ID(TSGUEST) ACCESS(READ)
RDEFINE EJBROLE TESTSYS.CosNamingCreate UACC(NONE)
PERMIT TESTSYS.CosNamingCreate  CLASS(EJBROLE)  ID(TSGUEST) ACCESS(READ)
RDEFINE EJBROLE TESTSYS.CosNamingDelete UACC(NONE)
PERMIT TESTSYS.CosNamingDelete  CLASS(EJBROLE)  ID(TSGUEST) ACCESS(READ)

Definições do Perfil CBIND para Servidores

Se não houver prefixo de perfil do SAF, insira os seguintes comandos do RACF:
RDEFINE CBIND CB.BIND.BBO* UACC(NONE)
RDEFINE CBIND CB.BIND.TSTC001 UACC(NONE)
PERMIT CB.BIND.BBO* CLASS(CBIND) ID(TSTCFG) ACCESS(CONTROL)
PERMIT CB.BIND.TSTC001 CLASS(CBIND) ID(TSTCFG) ACCESS(CONTROL)
RDEFINE CBIND CB.BBO* UACC(NONE)
RDEFINE CBIND CB.TSTC001 UACC(NONE)
Se houver um prefixo de perfil do SAF definido como TESTSYS, digite:
RDEFINE CBIND CB.BIND.TESTSYS.BBO* UACC(NONE)
RDEFINE CBIND CB.BIND.TESTSYS.TSTC001 UACC(NONE)
PERMIT CB.BIND.TESTSYS.BBO* CLASS(CBIND) ID(TSTCFG) ACCESS(CONTROL)
PERMIT CB.BIND.TESTSYS.TSTC001 CLASS(CBIND) ID(TSTCFG) ACCESS(CONTROL)
RDEFINE CBIND CB.TESTSYS.BBO* UACC(NONE)
RDEFINE CBIND CB.TESTSYS.TSTC001 UACC(NONE)
Nota:
  • Se você deseja criar um novo servidor específico que tenha um nome da tarefa que começa com um prefixo diferente de BBO*, defina um perfil CBIND específico inserindo os seguintes comandos do RACF:
    RDEFINE CBIND CB.BIND.TSTC002 UACC(NONE)
    PERMIT CB.BIND.TSTC002 CLASS(CBIND) ID(TSTCFG) ACCESS(CONTROL)
    RDEFINE CBIND CB.TSTC002 UACC(NONE)
  • As amostras criam definições de servidor com nomes de servidores específicos (mas um perfil genérico com um prefixo de servidor BBO). Se você tiver criado um prefixo do servidor alternativo e deseja evitar definições CBIND adicionais, inclua perfis CBIND genéricos que reflitam o novo nome inserindo os seguintes comandos do RACF, em que TST é o prefixo do nome da tarefa de seu servidor:
    RDEFINE CBIND CB.BIND.TESTSYS.TST* UACC(NONE)
    PERMIT CB.BIND.TESTSYS.TST* CLASS(CBIND) ID(TSTCFG) ACCESS(CONTROL)
    RDEFINE CBIND CB.TESTSYS.TST* UACC(NONE)
Nota:
  • Embora o prefixo de perfil do SAF separe as classes do RACF (CBIND, EJBROLE, APPL), ele não separa as permissões de arquivos de configuração no HFS (Hierarchical File System). Por exemplo, se:
    • O administrador for WSADMIN no grupo WSCFG
    • A identidade da região Servant é WASSRV (que também deve pertencer ao grupo WSCFG)
    • O usuário TOM tem acesso READ à EJBROLE TEST.administrator, mas não à EJBROLE PROD.administrator.
    TOM não pode utilizar o aplicativo de administração para fazer alterações na célula PROD.
  • Um aplicativo malicioso em execução no servidor de aplicativos TEST pode modificar os arquivos HFS na célula PROD. Isso deve-se ao servidor TEST ser executado com o ID do usuário WASSRV que pertence ao grupo WSCFG. Os arquivos HFS TEST e PROD podem ser modificados pelo grupo WSCFG. Para proteção máxima, o PROD deverá ser criado e associado a um grupo do RACF diferente de TEST. Além disso, considere ativar a sincronização do servidor de aplicativos e da identidade do encadeamento do z/OS. Este processo permite que serviços do sistema z/OS, como gravação no HFS, sejam executados usando a identidade Java™ Platform, Enterprise Edition (Java EE), em vez da identidade da região servidora. Para obter informações adicionais, leia sobre as opções de segurança do z/OS.

Ícone que indica o tipo de tópico Tópico de Conceito



Ícone de registro de data e hora Última atualização: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=csec_safsecdom
Nome do arquivo: csec_safsecdom.html