[z/OS]

Dicas Sobre o Resource Access Control Facility para Customização do WebSphere Application Server

É importante entender os mecanismos de segurança utilizados para proteger os recursos do servidor usando as classes CBIND, SERVER e STARTED no RACF (ou em seu produto de segurança). Este documento descreve esses mecanismos junto com algumas técnicas para gerenciar o ambiente de segurança.

Os detalhes sobre os perfis do RACF que são usados para proteger os servidores e recursos do WebSphere usam as seguintes classes:
  • CBIND: Acesso a servidores e acesso a objetos nos servidores
  • SERVER: Acesso a regiões do controlador por regiões do servente
  • STARTED: Associar IDs de usuários e grupos a procedimentos iniciados (STCs)

Você deverá incluir os perfis e permissões necessários do RACF em outro servidor na célula.

É possível definir o conjunto mínimo de usuários, grupos e perfis para um ambiente de teste (em que a segurança de servidores individuais não é o foco ou a preocupação principal).

Perfis RACF (CBIND, SERVER e STARTED): Informações básicas sobre os perfis RACF usados pelo WebSphere podem ser localizadas no System Authorization Facility classes and profiles. Essa seção inclui alguns detalhes adicionais sobre os perfis das classes CBIND, SERVER e STARTED.

IDs de Usuário e IDs de Grupo: como parte do uso do WebSphere z/OS Profile Management Tool ou do comando zpmt, a tarefa BBOCBRAK gera comandos RACF que podem ser executados com a tarefa BBOWBRAK. Chave:
RC = Região do Controlador
RS = Região do Servente
CFG = Configuração (grupo)
servidor = nome abreviado do servidor
cluster = nome genérico (abreviado) do servidor (também chamado de nome de transição do cluster)
Primeiro, seis usuários e seis grupos são definidos da maneira a seguir, os quais são mostrados simbolicamente para ajudar a compreender como eles são utilizados nas diversas permissões posteriormente:
<CR_userid> <CR_groupid>, <CFG_groupid>
<SR_userid> <SR_groupid>, <CFG_groupid>
<demn_userid> <demn_groupid>, <CFG_groupid>
<admin_userid> <CFG_groupid>
<client_userid> <client_groupid>
<ctracewtr_userid> <ctracewtr_groupid>

A seguir, os vários perfis utilizados para proteger os servidores e recursos do WebSphere, junto com as permissões e os níveis de acesso.

Perfis de Classe CBIND: Existem dois formatos e níveis de perfis de classe CBIND para proteger o acesso a servidores de aplicativos e a objetos nesses servidores:
Perfis de Classe CBIND - acesso a servidores genéricos
CB.BIND.<cluster> UACC(READ); PERMIT <CR_group> ACC(CONTROL)

Perfis de Classe CBIND - acesso a objetos em servidores
CB.<cluster> UACC(READ) PERMIT <CR_group> ACC(CONTROL)

Perfis de Classe SERVER: Existem atualmente dois formatos de perfis da classe SERVER para proteger o acesso às regiões do controlador do servidor. É preciso definir um perfil SERVER de formato único, dependendo do suporte ao DAE (Dynamic Application Environment) estar ou não ativado. Isso é feito utilizando o WLM DAE APAR OW54622, que é aplicável ao z/OS V1R2 ou superior.

No WebSphere z/OS Profile Management Tool ou no comando zpmt, ambos os formatos são predefinidos, e um deles é realmente necessário no tempo de execução. O formato necessário é determinado dinamicamente pelo WebSphere Application Server para o Tempo de Execução do z/OS com base na disponibilidade do suporte ao DAE (Dynamic Application Environment).
  • O comando a seguir fornece acesso aos controladores utilizando Ambientes de Aplicativos estáticos (sem o suporte do APAR): RDEFINE CB.&<servidor>. < & cluster> UACC(NONE); PERMIT &<SR_userid> ACC(READ) Para este exemplo, server = nome do servidor, cluster = nome do cluster ou nome de transição do cluster se um cluster ainda não tiver sido criado, e SR = o ID de usuário do MVS da Região do Servidor.
  • O comando a seguir fornece acesso aos controladores utilizando Ambientes de Aplicativos dinâmicos (com o suporte de WLM DAE APAR): CB.&<servidor>. < & cluster>.<cell> UACC(NONE); PERMIT &<SR_userid> ACC(READ) Para este exemplo, server = nome do servidor, cluster = nome do cluster ou nome de transição do cluster se um cluster ainda não tiver sido criado, cell = nome abreviado da célula e SR = o ID de usuário do MVS da Região do Servidor.
Perfis de Classe STARTED: Há dois formatos de perfis de classe STARTED utilizados para designar IDs de usuário e de grupo a regiões do controlador e outros STCs com base na tarefa iniciada ter sido iniciada com a interface MGCRE ou com a interface de criação de espaço de endereçamento (ASCRE) utilizada pelo WLM (Workload Manager) para iniciar regiões do servant:
Perfis de Classe STARTED - (MGCRE)
<<CR_proc>.<CR_jobname> STDATA(USER(CR_userid) GROUP(CFG_groupid))
<demn_proc>.* STDATA(USER(demn_userid) GROUP(CFG_groupid))

Perfis de Classe STARTED - (ASCRE)
<SR_jobname>.<SR_jobname> STDATA(USER(SR_userid) GROUP(CFG_groupid))

Perfis de Classe STARTED para IJP - (MGCRE)
<MQ_ssname>.* STDATA(USER(IJP_userid) GROUP(CFG_groupid))

Gerando novos IDs de usuário e Perfis para um novo Servidor: se você quiser utilizar IDs de usuário exclusivos para cada novo servidor de aplicativos, deverá definir esses usuários, grupos e perfis no banco de dados RACF.

Uma técnica seria editar uma cópia do membro BBOWBRAK utilizando o WebSphere z/OS Profile Management Tool ou o comando zpmt, o conjunto de dados particionado .DATA, e alterar as seguintes entradas para os novos usuários, grupos, nome exclusivo do Novo_servidor e perfis de nome do Novo_cluster:
  • Se desejar IDs do usuário exclusivos para os novos servidores, defina três novos usuários e conecte-os aos seguintes grupos:
    <New_CR_userid> <CR_groupid>, <CFG_groupid>
    <New_SR_userid> <SR_groupid>, <CFG_groupid>
    <New_client_userid> <client_groupid>
  • Perfis de classe CBIND para o novo cluster (nome abreviado do servidor genérico):
    CB.BIND.<New_cluster>
    CB.<New_cluster>
  • Perfis de classe SERVER para o novo servidor e cluster:
    CB.<New_server>.<New_cluster>
    CB.<New_server>.<New_cluster>.<cell>
  • Perfis de classe STARTED para as regiões do controlador e do servente do novo servidor:
    <CR_proc>.<New_CR_jobname> STDATA(USER(New_CR_userid)
                                            GROUP(ID_de_grupo_de_CFG))
    <New_SR_jobname>.* STDATA(USER(New_SR_userid) GROUP(CFG_groupid))
Perfis Mínimos: para minimizar o número de usuários, grupos e perfis no conjunto de dados RACF, você pode utilizar um ID do usuário, um ID de grupo e perfis bem genéricos, de modo que eles abranjam vários servidores na mesma células. Eis um exemplo de perfis com um usuário (T5USR), um grupo (T5GRP) e um conjunto de servidores na célula T5CELL tendo nomes abreviados de servidor começando com T5SRV* e nomes genéricos de servidor começando com T5CL*. Esta técnica também pode ser utilizada com IJP (Integral JMS Provider) e configurações do WebSphere Application Server, Network Deployment (ND).
/* Perfis de Classe CBIND (UACC) - acesso a servidores genéricos */
CB.BIND.T5CL* UACC(READ); PERMIT ID(T5GRP) ACC(CONTROL)

/* Perfis de Classe CBIND (UACC) - acesso a objetos em servidores */
CB.T5CL* UACC(READ); PERMIT ID(T5GRP) ACC(CONTROL)

/* Perfis de Classe SERVER - acesso a controladores (estilo antigo) */
CB.*.T5CL* UACC(NONE); PERMIT ID(T5USR) ACC(READ)

/* Perfis de Classe SERVER - acesso a controladores (estilo novo) */
CB.*.*.T5CELL UACC(NONE); PERMIT ID(T5USR) ACC(READ)

/* Perfis de Classe STARTED - (MGCRE) - para STCs, exceto serventes */
T5ACR.* STDATA(USER(T5USR) GROUP(T5GRP)) /* controlador*/
T5DMN.* STDATA(USER(T5USR) GROUP(T5GRP)) /* daemon */
T5CTRW.* STDATA(USER(T5USR) GROUP(T5GRP)) /* WTR CTrace*/
WMQX*.* STDATA(USER(T5USR) GROUP(T5GRP)) /* IJP */

/* Perfis de Classe STARTED - (ASCRE - para serventes) */
T5SRV*.* STDATA(USER(T5USR) GROUP(T5GRP)) /* servente */

Ícone que indica o tipo de tópico Tópico de Conceito



Ícone de registro de data e hora Última atualização: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=csec_racftips
Nome do arquivo: csec_racftips.html