![[z/OS]](../images/ngzos.gif)
Prefixos de Perfil do SAF e as Tarefas de Customização
Você pode configurar um prefixo de perfil do SAF (System Authorization Facility), anteriormente chamado de domínio de segurança do z/OS, utilizando o z/OS Profile Management Tool.
- Fornecem granularidade de nível de domínio de segurança do WebSphere de funções
- Permitem que diferentes administradores sejam designados para teste e produção
- São usados como o perfil APPL para servidores no domínio de segurança do WebSphere
Você pode configurar um prefixo de perfil do SAF utilizando a ferramenta z/OS Profile Management Tool para customizar suas configurações ou no painel de opções de autorização SAF no console administrativo. Isso fornece um novo conjunto de amostra de tarefas de customização do RACF (Resource Access Control Facility) que deverão ser executadas somente uma vez, quando o domínio for criado.
- CBIND
- EJBROLE
- APPL
/* perfis de CBIND no caso de nenhuma definição do servidor estar configurada */
"RDEFINE CBIND CB.BIND.* UACC(NONE)"
"RDEFINE CBIND CB.* UACC(NONE)"
/* CBIND CB.BIND.domain_name. */
"RDEFINE CBIND CB.BIND.TESTSYS.* UACC(NONE)"
"RDEFINE CBIND CB.TESTSYS.* UACC(NONE)"
Utilize um perfil APPL para proteger o WebSphere Application Server para z/OS. Perfis de amostra podem conceder um determinado nível de acesso APPL a todas as pessoas, se você usar a autoridade de acesso universal, UACC, e conceder acesso ao grupo de configurações, a IDs de usuário não autenticados e a todos IDs de usuário válidos do WebSphere Application Server para z/OS. Um UACC(NONE) dará um acesso padrão de NONE a todas as pessoas. É possível controlar se o perfil de classe APPL é usado para a autorização por meio da configuração da caixa de seleção denominada "Usar o perfil APPL para restringir o acesso ao servidor" no painel de opções de autorização SAF no console administrativo.
RDEFINE APPL CBS390 UACC(NONE)
PERMIT CBS390 CLASS(APPL) ID(TSCLGP) ACCESS(READ)
RDEFINE APPL TESTSYS UACC(NONE)
PERMIT TESTSYS CLASS(APPL) ID(TSCLGP) ACCESS(READ)
Os seguintes perfis EJBROLE são definidos para verificações de autorização baseada em função se não houver nenhum perfil de prefixo SAF e o grupo de configurações estiver definido como TSTCFG. Observe que esses são conjuntos mínimos de usuários requerendo acesso a funções de nomenclatura e administrativas quando a autorização System Authorization Facility (SAF) estiver selecionada.
RDEFINE EJBROLE administrator UACC(NONE)
RDEFINE EJBROLE monitor UACC(NONE)
RDEFINE EJBROLE configurator UACC(NONE)
RDEFINE EJBROLE operator UACC(NONE)
RDEFINE EJBROLE deployer UACC(NONE)
RDEFINE EJBROLE adminsecuritymanager UACC(NONE)
RDEFINE EJBROLE auditor UACC(NONE)
PERMIT administrator CLASS(EJBROLE) ID(TSTCFG) ACCESS(READ)
PERMIT auditor CLASS(EJBROLE) ID(TSTCFG) ACCESS(READ)
PERMIT adminsecuritymanager CLASS(EJBROLE) ID(TSTCFG) ACCESS(READ)
/* Configurando Perfis EJBRoles para funções de Nomenclatura */
RDEFINE EJBROLE CosNamingRead UACC(NONE)
PERMIT CosNamingRead CLASS(EJBROLE) ID(TSGUEST) ACCESS(READ)
RDEFINE EJBROLE CosNamingWrite UACC(NONE)
PERMIT CosNamingWrite CLASS(EJBROLE) ID(TSGUEST) ACCESS(READ)
RDEFINE EJBROLE CosNamingCreate UACC(NONE)
PERMIT CosNamingCreate CLASS(EJBROLE) ID(TSGUEST) ACCESS(READ)
RDEFINE EJBROLE CosNamingDelete UACC(NONE)
PERMIT CosNamingDelete CLASS(EJBROLE) ID(TSGUEST) ACCESS(READ)
RDEFINE EJBROLE TESTSYS.administrator UACC(NONE)
RDEFINE EJBROLE TESTSYS.monitor UACC(NONE)
RDEFINE EJBROLE TESTSYS.configurator UACC(NONE)
RDEFINE EJBROLE TESTSYS.operator UACC(NONE)
RDEFINE EJBROLE TESTSYS.deployer UACC(NONE)
RDEFINE EJBROLE TESTSYS.adminsecuritymanager UACC(NONE)
RDEFINE EJBROLE TESTSYS.auditor UACC(NONE)
PERMIT TESTSYS.administrator CLASS(EJBROLE) ID(TSTCFG) ACCESS(READ)
PERMIT TESTSYS.auditor CLASS(EJBROLE) ID(TSTCFG) ACCESS(READ)
PERMIT TESTSYS.adminsecuritymanager CLASS(EJBROLE) ID(TSTCFG) ACCESS(READ)
/* Configurando Perfis EJBRoles para funções de Nomenclatura */
RDEFINE EJBROLE TESTSYS.CosNamingRead UACC(NONE)
PERMIT TESTSYS.CosNamingRead CLASS(EJBROLE) ID(TSGUEST) ACCESS(READ)
RDEFINE EJBROLE TESTSYS.CosNamingWrite UACC(NONE)
PERMIT TESTSYS.CosNamingWrite CLASS(EJBROLE) ID(TSGUEST) ACCESS(READ)
RDEFINE EJBROLE TESTSYS.CosNamingCreate UACC(NONE)
PERMIT TESTSYS.CosNamingCreate CLASS(EJBROLE) ID(TSGUEST) ACCESS(READ)
RDEFINE EJBROLE TESTSYS.CosNamingDelete UACC(NONE)
PERMIT TESTSYS.CosNamingDelete CLASS(EJBROLE) ID(TSGUEST) ACCESS(READ)
Definições do Perfil CBIND para Servidores
RDEFINE CBIND CB.BIND.BBO* UACC(NONE)
RDEFINE CBIND CB.BIND.TSTC001 UACC(NONE)
PERMIT CB.BIND.BBO* CLASS(CBIND) ID(TSTCFG) ACCESS(CONTROL)
PERMIT CB.BIND.TSTC001 CLASS(CBIND) ID(TSTCFG) ACCESS(CONTROL)
RDEFINE CBIND CB.BBO* UACC(NONE)
RDEFINE CBIND CB.TSTC001 UACC(NONE)
RDEFINE CBIND CB.BIND.TESTSYS.BBO* UACC(NONE)
RDEFINE CBIND CB.BIND.TESTSYS.TSTC001 UACC(NONE)
PERMIT CB.BIND.TESTSYS.BBO* CLASS(CBIND) ID(TSTCFG) ACCESS(CONTROL)
PERMIT CB.BIND.TESTSYS.TSTC001 CLASS(CBIND) ID(TSTCFG) ACCESS(CONTROL)
RDEFINE CBIND CB.TESTSYS.BBO* UACC(NONE)
RDEFINE CBIND CB.TESTSYS.TSTC001 UACC(NONE)
- Se você deseja criar um novo servidor específico que tenha um nome da tarefa
que começa com um prefixo diferente de BBO*, defina um perfil CBIND específico inserindo os seguintes comandos do RACF:
RDEFINE CBIND CB.BIND.TSTC002 UACC(NONE) PERMIT CB.BIND.TSTC002 CLASS(CBIND) ID(TSTCFG) ACCESS(CONTROL) RDEFINE CBIND CB.TSTC002 UACC(NONE)
- As amostras criam definições de servidor com nomes de servidores específicos (mas um perfil genérico com um prefixo de servidor BBO). Se você tiver criado
um prefixo do servidor alternativo e deseja evitar definições CBIND adicionais, inclua perfis CBIND genéricos que reflitam o novo nome inserindo os seguintes
comandos do RACF, em que TST é o prefixo do nome da tarefa de seu servidor:
RDEFINE CBIND CB.BIND.TESTSYS.TST* UACC(NONE) PERMIT CB.BIND.TESTSYS.TST* CLASS(CBIND) ID(TSTCFG) ACCESS(CONTROL) RDEFINE CBIND CB.TESTSYS.TST* UACC(NONE)
- Embora o prefixo de perfil do SAF separe as classes do RACF (CBIND, EJBROLE, APPL), ele não separa as
permissões de arquivos de configuração no HFS (Hierarchical File System). Por exemplo, se:
- O administrador for WSADMIN no grupo WSCFG
- A identidade da região Servant é WASSRV (que também deve pertencer ao grupo WSCFG)
- O usuário TOM tem acesso READ à EJBROLE TEST.administrator, mas não à EJBROLE PROD.administrator.
- Um aplicativo malicioso em execução no servidor de aplicativos TEST pode modificar os arquivos HFS na célula PROD. Isso deve-se ao servidor TEST ser executado com o ID do usuário WASSRV que pertence ao grupo WSCFG. Os arquivos HFS TEST e PROD podem ser modificados pelo grupo WSCFG. Para proteção máxima, o PROD deverá ser criado e associado a um grupo do RACF diferente de TEST. Além disso, considere ativar a sincronização do servidor de aplicativos e da identidade do encadeamento do z/OS. Este processo permite que serviços do sistema z/OS, como gravação no HFS, sejam executados usando a identidade Java™ Platform, Enterprise Edition (Java EE), em vez da identidade da região servidora. Para obter informações adicionais, leia sobre as opções de segurança do z/OS.