![[z/OS]](../images/ngzos.gif)
Dicas Sobre o Resource Access Control Facility para Customização do WebSphere Application Server
É importante entender os mecanismos de segurança utilizados para proteger os recursos do servidor usando as classes CBIND, SERVER e STARTED no RACF (ou em seu produto de segurança). Este documento descreve esses mecanismos junto com algumas técnicas para gerenciar o ambiente de segurança.
- CBIND: Acesso a servidores e acesso a objetos nos servidores
- SERVER: Acesso a regiões do controlador por regiões do servente
- STARTED: Associar IDs de usuários e grupos a procedimentos iniciados (STCs)
Você deverá incluir os perfis e permissões necessários do RACF em outro servidor na célula.
É possível definir o conjunto mínimo de usuários, grupos e perfis para um ambiente de teste (em que a segurança de servidores individuais não é o foco ou a preocupação principal).
Perfis RACF (CBIND, SERVER e STARTED): Informações básicas sobre os perfis RACF usados pelo WebSphere podem ser localizadas no System Authorization Facility classes and profiles. Essa seção inclui alguns detalhes adicionais sobre os perfis das classes CBIND, SERVER e STARTED.
RC = Região do Controlador
RS = Região do Servente
CFG = Configuração (grupo)
servidor = nome abreviado do servidor
cluster = nome genérico (abreviado) do servidor (também chamado de nome de transição do cluster)
<CR_userid> <CR_groupid>, <CFG_groupid>
<SR_userid> <SR_groupid>, <CFG_groupid>
<demn_userid> <demn_groupid>, <CFG_groupid>
<admin_userid> <CFG_groupid>
<client_userid> <client_groupid>
<ctracewtr_userid> <ctracewtr_groupid>
A seguir, os vários perfis utilizados para proteger os servidores e recursos do WebSphere, junto com as permissões e os níveis de acesso.
Perfis de Classe CBIND - acesso a servidores genéricos
CB.BIND.<cluster> UACC(READ); PERMIT <CR_group> ACC(CONTROL)
Perfis de Classe CBIND - acesso a objetos em servidores
CB.<cluster> UACC(READ) PERMIT <CR_group> ACC(CONTROL)
Perfis de Classe SERVER: Existem atualmente dois formatos de perfis da classe SERVER para proteger o acesso às regiões do controlador do servidor. É preciso definir um perfil SERVER de formato único, dependendo do suporte ao DAE (Dynamic Application Environment) estar ou não ativado. Isso é feito utilizando o WLM DAE APAR OW54622, que é aplicável ao z/OS V1R2 ou superior.
- O comando a seguir fornece acesso aos controladores utilizando Ambientes de Aplicativos estáticos (sem o suporte do APAR): RDEFINE CB.&<servidor>. < & cluster> UACC(NONE); PERMIT &<SR_userid> ACC(READ) Para este exemplo, server = nome do servidor, cluster = nome do cluster ou nome de transição do cluster se um cluster ainda não tiver sido criado, e SR = o ID de usuário do MVS da Região do Servidor.
- O comando a seguir fornece acesso aos controladores utilizando Ambientes de Aplicativos dinâmicos (com o suporte de WLM DAE APAR): CB.&<servidor>. < & cluster>.<cell> UACC(NONE); PERMIT &<SR_userid> ACC(READ) Para este exemplo, server = nome do servidor, cluster = nome do cluster ou nome de transição do cluster se um cluster ainda não tiver sido criado, cell = nome abreviado da célula e SR = o ID de usuário do MVS da Região do Servidor.
Perfis de Classe STARTED - (MGCRE)
<<CR_proc>.<CR_jobname> STDATA(USER(CR_userid) GROUP(CFG_groupid))
<demn_proc>.* STDATA(USER(demn_userid) GROUP(CFG_groupid))
Perfis de Classe STARTED - (ASCRE)
<SR_jobname>.<SR_jobname> STDATA(USER(SR_userid) GROUP(CFG_groupid))
Perfis de Classe STARTED para IJP - (MGCRE)
<MQ_ssname>.* STDATA(USER(IJP_userid) GROUP(CFG_groupid))
Gerando novos IDs de usuário e Perfis para um novo Servidor: se você quiser utilizar IDs de usuário exclusivos para cada novo servidor de aplicativos, deverá definir esses usuários, grupos e perfis no banco de dados RACF.
- Se desejar IDs do usuário exclusivos para os novos servidores, defina três novos usuários
e conecte-os aos seguintes grupos:
<New_CR_userid> <CR_groupid>, <CFG_groupid> <New_SR_userid> <SR_groupid>, <CFG_groupid> <New_client_userid> <client_groupid>
- Perfis de classe CBIND para o novo cluster (nome abreviado do servidor genérico):
CB.BIND.<New_cluster> CB.<New_cluster>
- Perfis de classe SERVER para o novo servidor e cluster:
CB.<New_server>.<New_cluster> CB.<New_server>.<New_cluster>.<cell>
- Perfis de classe STARTED para as regiões do controlador e do servente do novo servidor:
<CR_proc>.<New_CR_jobname> STDATA(USER(New_CR_userid) GROUP(ID_de_grupo_de_CFG)) <New_SR_jobname>.* STDATA(USER(New_SR_userid) GROUP(CFG_groupid))
/* Perfis de Classe CBIND (UACC) - acesso a servidores genéricos */
CB.BIND.T5CL* UACC(READ); PERMIT ID(T5GRP) ACC(CONTROL)
/* Perfis de Classe CBIND (UACC) - acesso a objetos em servidores */
CB.T5CL* UACC(READ); PERMIT ID(T5GRP) ACC(CONTROL)
/* Perfis de Classe SERVER - acesso a controladores (estilo antigo) */
CB.*.T5CL* UACC(NONE); PERMIT ID(T5USR) ACC(READ)
/* Perfis de Classe SERVER - acesso a controladores (estilo novo) */
CB.*.*.T5CELL UACC(NONE); PERMIT ID(T5USR) ACC(READ)
/* Perfis de Classe STARTED - (MGCRE) - para STCs, exceto serventes */
T5ACR.* STDATA(USER(T5USR) GROUP(T5GRP)) /* controlador*/
T5DMN.* STDATA(USER(T5USR) GROUP(T5GRP)) /* daemon */
T5CTRW.* STDATA(USER(T5USR) GROUP(T5GRP)) /* WTR CTrace*/
WMQX*.* STDATA(USER(T5USR) GROUP(T5GRP)) /* IJP */
/* Perfis de Classe STARTED - (ASCRE - para serventes) */
T5SRV*.* STDATA(USER(T5USR) GROUP(T5GRP)) /* servente */