[z/OS]

安全性调整技巧

通常情况下,当您提高安全性时会发生两件事情:每个事务的成本增加以及吞吐量减少。请在配置 WebSphere® Application Server 时考虑以下安全性信息。

SAF 类

当 SAF(RACF® 或同等产品)类处于活动状态时,类中的概要文件数会影响检查的整体性能。将这些概要文件放置在(已执行 RACLIST 操作的)内存表中将提高访问检查的性能。对访问检查的审计控制也会影响性能。通常,您审计故障和不成功。审计事件将记录到 DASD,从而会增加访问检查的开销。因为所有安全性授权检查是使用 SAF(RACF 或同等功能)执行的,所以您可选择启用和禁用 SAF 类来控制安全性。禁用的类所花费的开销量可以忽略不计。

此外,如果未对 SAF 类执行 RACLIST 操作,那么必须重新启动应用程序服务器,对该类中的概要文件进行的任何更改才会生效。

避免故障 避免故障: 对 UNIX 系统服务文件系统中用于控制对象访问权的类(例如,RACF DIRACC、DIRSRCH、FSOBJ 和 FSSEC,或者其他 SAF 安全管理器中它们的等价类)启用所有审计时,会严重降低性能。gotcha

方法上的 EJBROLE

在方法上使用最小 EJBROLE 数。如果您正在使用 EJBROLE,那么在方法上指定的角色越多,就会导致必须执行越多的访问检查,从而方法的整体分派速度就越慢。如果您不使用 EJBROLE,那么不要激活此类。

Java 2 安全性

如果您不需要 Java™ 2 安全性,那么请禁用。有关如何禁用 Java 2 安全性的指示信息,请参阅保护系统资源和 API(Java 2 安全性)以开发应用程序

权限级别

使用与您的安全性需要一致的最低权限级别。处理认证时您有以下选项:
  • 本地认证:本地认证是最快的类型,因为它已极大地优化。
  • 用户标识和密码认证:使用用户标识和密码的认证在第一次调用时成本较高,但在后续的每一次调用时成本都会降低。
  • Kerberos 安全认证:我们还未充分地描述 Kerberos 安全性的成本特征。
  • SSL 安全认证:SSL 安全性在业界因它的性能开销而声名狼籍。幸运的是,可以使用硬件提供的许多辅助功能,使它可以合理地运用于 z/OS® 上。

使用 SSL 的加密级别

如果使用安全套接字层 (SSL),请选择与您的安全性需求一致的最低加密级别。WebSphere Application Server 允许您选择使用哪些密码套件。密码套件规定连接的加密强度。加密强度越高,对性能的影响越大。

RACF 调整

按照以下准则进行 RACF 调整:

  • 使用 RACLIST 将那些可以改进性能的项放入内存。尤其确保 RACLIST(如果使用):
    • CBIND
    • EJBROLE
    • SERVER
    • STARTED
    • [z/OS]FACILITY
    • [z/OS]SURROGAT
    示例:[z/OS]
    RACLIST (CBIND, EJBROLE, SERVER, STARTED, FACILITY, SURROGAT)
    
  • 使用 SSL 之类的东西需要付出代价。如果您经常使用 SSL,那么确保您有适当的硬件(如 PCI 密码卡)来加速握手进程。
  • 以下是如何定义 BPX.SAFFASTPATH 工具类概要文件的说明。此概要文件允许您绕过 SAF 调用,该调用可用于审计成功的共享文件系统访问。
    • 将工具类概要文件定义为 RACF。
      
      
      RDEFINE FACILITY BPX.SAFFASTPATH UACC(NONE)
      
    • 通过执行以下某种操作激活此更改:
      • re-IPL
      • 调用 SETOMVS 或 SET OMVS 操作员命令。
    注: 如果您需要审计成功的 HFS 访问或如果您使用 IRRSXT00 出口控制 HFS 访问,请不要使用此选项。
  • 使用 UID 和 GID 的 VLF 高速缓存,如示例 COFVLFxx parmlib 成员中所示:
    示例:sys1.parmlib(COFVLFxx):
    ********************************* Top of Data ********************.
    .
    
    
    CLASS NAME(IRRGMAP) EMAJ(GMAP)
    CLASS NAME(IRRUMAP) EMAJ(UMAP)
    CLASS NAME(IRRGTS) EMAJ(GTS)
    CLASS NAME(IRRACEE) EMAJ(ACEE)
    .
    ******************************** Bottom of Data ******************
    
    要避免对 RACF 数据库进行高成本扫描,请确保所有 HFS 文件都具有有效的 GID 和 UID。
  • 请不要对 UNIX 文件系统中用于控制对象访问权的 RACF (SAF) 类启用全局审计 ALWAYS。如果在 SETR LOGOPTIONS 中对 RACF 类 DIRACC、DIRSRCH、FSOBJ 或 FSSEC 指定了审计 ALWAYS,那么会发生严重的性能降级。如果需要进行审计,那么仅在使用 SETR LOGOPTIONS 时审计失败,并且审计仅对于需要审计的所选对象才会成功。在更改这些类的审计级别之后,请始终验证该更改未对响应时间或 CPU 使用率产生不可接受的影响。

指示主题类型的图标 参考主题



时间戳记图标 最近一次更新时间: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rprf_tunezsec
文件名:rprf_tunezsec.html