![[z/OS]](../images/ngzos.gif)
Resumo de Controles
Cada controlador, servant e cliente deve ter seu próprio ID de usuário MVS. Quando um pedido flui de um cliente para o cluster ou de um cluster para um cluster, o WebSphere Application Server para z/OS transmite a identidade do usuário (cliente ou cluster) com o pedido. Portanto, cada pedido é feito em nome da identidade do usuário e o sistema verifica se a identidade do usuário tem a autoridade para fazer esse pedido. As tabelas descrevem as autorizações do System Authorization Facility (SAF) e não SAF.
Resumo de controles de segurança do z/OS independente da configuração de segurança administrativa
- Gerenciadores de Implementação
- Agentes de Nós
- Daemons do Serviço de Localização
- WebSphere Application Servers
Cada controlador e servant deve ser executado com um ID de usuário MVS válido designado como parte da definição de uma tarefa iniciada. Esse ID de usuário MVS deve ter uma UID (identidade do usuário) de Serviços do Sistema UNIX e estar conectado ao grupo de configuração do WebSphere, que seja comum a todos os servidores da célula com uma GID (identidade de grupo) MVS e de Serviços do Sistema UNIX.
Control | Autorização |
---|---|
Classe DATASET | Acesso a conjuntos de dados |
Classe DSNR | Acesso ao DB2 (Database 2) |
Classe FACILITY (BPX.WLMSERVER) | Acesso o perfil BPX.WLMSERVER para executar o gerenciamento de enclave WLM (Workload Manager) no servant. Sem esse acesso, a classificação não é executada. |
Classe FACILITY (IMSXCF.OTMACI) | Acesso ao OTMA (Open Transaction Manager Access) para IMS (Information Management System) e acesso ao perfil BPX.WLMSERVER |
Permissões de arquivos HFS | Acesso a arquivos HFS (Hierarchical File System) |
Classe LOGSTRM | Acesso a fluxos de logs |
Classe OPERCMDS | Acesso ao script de shell startServer.sh e JMSProvider Integral |
Classe SERVER | Acesso ao controlador por um servant |
Classe STARTED | ID de usuário associado (e opcionalmente ID de grupo) para iniciar o procedimento |
Classe SURROGAT (*.DFHEXCI) | Acesso a EXCI para acesso ao CICS (Customer Information Control System) |
O WebSphere z/OS Profile Management Tool ou o comando zpmt e as tarefas de customização Resource Access Control Facility (RACF) definem estes como configurações iniciais para os perfis *'ed.
- Tipo de conector
- Definição de autenticação de recursos (resAuth) do aplicativo implementado
- Disponibilidade de um alias
- Configuração de segurança
- Acesse o OTMA para IMS por meio da Classe FACILITY (IMSXCF.OTMACI)
- Acesse EXCI para CICS por meio da classe SURROGAT (*.DFHEXCI)
- Controlar acesso aos conjuntos de dados através da classe DATASET e os arquivos HFS através de permissão de arquivo
Observe que a Autorização MVS SAF para todos os outros recursos do subsistema MVS acessados pelos aplicativos J2EE é normalmente executada usando a identidade do ID do usuário MVS do servant. Consulte Identidade do Java Platform, Enterprise Edition e Identidade de Encadeamento do Sistema Operacional para obter informações adicionais.
O perfil BPX.WLMSERVER na classe FACILITY é usado para autorizar um espaço de endereço para usar os serviços de tempo de execução do Language Environment (LE) que fazem interface com o gerenciamento de carga de trabalho (WLM) para a execução do gerenciamento de carga de trabalho em uma região do servidor. Esses serviços de tempo de execução do LE são usados pelo WebSphere Application Server para extrair informações de classificação de enclaves e para gerenciar a associação de trabalho com um Enclave. Como as interfaces não autorizadas são utilizadas para manipular enclaves WLM para o trabalho da região de servidor que não foi transmitido de um controlador para um servant, os servants do WebSphere Application Server devem ter acesso READ permitido para esse perfil. Sem essa permissão, as tentativas de criar, excluir, unir ou deixar um enclave WLM falhará com java.lang.SecurityException.
Resumo de controles de segurança do z/OS em vigor quando a segurança administrativa e do aplicativo estiverem ativadas
Quando as seguranças administrativa e de aplicativos estão ativadas, o SSL deve estar disponível para criptografia e proteção de mensagens. Além disso, a autenticação e autorização de clientes J2EE e administrativos está ativada.
A autorização da classe FACILITY, necessária para serviços SSL, e a definição de conjuntos de chaves SAF são requeridas quando a segurança administrativa está ativada.
Quando um pedido flui de um cliente para o WebSphere Application Server ou de um cluster para um cluster, o WebSphere Application Server para z/OS transmite a identidade do usuário (cliente ou cluster) com o pedido. Portanto, cada pedido é feito em nome da identidade do usuário e o sistema verifica se a identidade do usuário tem a autoridade para fazer esse pedido. As tabelas descrevem autorizações específicas do z/OS usando SAF.
Control | Autorização |
---|---|
Classe CBIND | Acesso a um cluster |
Classe EJBROLE ou GEJBROLE | Acesso a métodos em beans corporativos |
Classe FACILITY (IRR.DIGTCERT.LIST e IRR.DIGTCERT.LISTRING) | Certificados, mapeamentos e conjuntos de chaves SSL |
Classe FACILITY (IRR.RUSERMAP) | Credenciais do Kerberos |
Classe FACILITY (BBO.SYNC) | Ativa Sincronização Permitida para Encadeamento do S.O. |
Classe FACILITY (BBO.TRUSTEDAPPS) | Ativa aplicativos confiáveis |
Classe SURROGAT (BBO.SYNC) | Ativa Sincronização Permitida para Encadeamento do S.O. |
Classe PTKTDATA | Ativação de PassTicket no sysplex |
Definir Identidade do Encadeamento do S.O. para Identidade RunAs | Propriedade do cluster J2EE utilizada para ativar a identidade inicial para recursos não-J2EE |