![[z/OS]](../images/ngzos.gif)
安全性调整技巧
通常情况下,当您提高安全性时会发生两件事情:每个事务的成本增加以及吞吐量减少。请在配置 WebSphere® Application Server 时考虑以下安全性信息。
SAF 类
当 SAF(RACF® 或同等产品)类处于活动状态时,类中的概要文件数会影响检查的整体性能。将这些概要文件放置在(已执行 RACLIST 操作的)内存表中将提高访问检查的性能。对访问检查的审计控制也会影响性能。通常,您审计故障和不成功。审计事件将记录到 DASD,从而会增加访问检查的开销。因为所有安全性授权检查是使用 SAF(RACF 或同等功能)执行的,所以您可选择启用和禁用 SAF 类来控制安全性。禁用的类所花费的开销量可以忽略不计。
此外,如果未对 SAF 类执行 RACLIST 操作,那么必须重新启动应用程序服务器,对该类中的概要文件进行的任何更改才会生效。

方法上的 EJBROLE
在方法上使用最小 EJBROLE 数。如果您正在使用 EJBROLE,那么在方法上指定的角色越多,就会导致必须执行越多的访问检查,从而方法的整体分派速度就越慢。如果您不使用 EJBROLE,那么不要激活此类。
Java 2 安全性
如果您不需要 Java™ 2 安全性,那么请禁用。有关如何禁用 Java 2 安全性的指示信息,请参阅保护系统资源和 API(Java 2 安全性)以开发应用程序。
权限级别
使用与您的安全性需要一致的最低权限级别。处理认证时您有以下选项:
- 本地认证:本地认证是最快的类型,因为它已极大地优化。
- 用户标识和密码认证:使用用户标识和密码的认证在第一次调用时成本较高,但在后续的每一次调用时成本都会降低。
- Kerberos 安全认证:我们还未充分地描述 Kerberos 安全性的成本特征。
- SSL 安全认证:SSL 安全性在业界因它的性能开销而声名狼籍。幸运的是,可以使用硬件提供的许多辅助功能,使它可以合理地运用于 z/OS® 上。
使用 SSL 的加密级别
如果使用安全套接字层 (SSL),请选择与您的安全性需求一致的最低加密级别。WebSphere Application Server 允许您选择使用哪些密码套件。密码套件规定连接的加密强度。加密强度越高,对性能的影响越大。
RACF 调整
按照以下准则进行 RACF 调整:
- 使用 RACLIST
将那些可以改进性能的项放入内存。尤其确保 RACLIST(如果使用):
- CBIND
- EJBROLE
- SERVER
- STARTED
FACILITY
SURROGAT
示例:RACLIST (CBIND, EJBROLE, SERVER, STARTED, FACILITY, SURROGAT)
- 使用 SSL 之类的东西需要付出代价。如果您经常使用 SSL,那么确保您有适当的硬件(如 PCI 密码卡)来加速握手进程。
- 以下是如何定义 BPX.SAFFASTPATH 工具类概要文件的说明。此概要文件允许您绕过 SAF 调用,该调用可用于审计成功的共享文件系统访问。
- 将工具类概要文件定义为 RACF。
RDEFINE FACILITY BPX.SAFFASTPATH UACC(NONE)
- 通过执行以下某种操作激活此更改:
- re-IPL
- 调用 SETOMVS 或 SET OMVS 操作员命令。
注: 如果您需要审计成功的 HFS 访问或如果您使用 IRRSXT00 出口控制 HFS 访问,请不要使用此选项。 - 将工具类概要文件定义为 RACF。
- 使用 UID 和 GID 的 VLF 高速缓存,如示例 COFVLFxx parmlib 成员中所示:示例:sys1.parmlib(COFVLFxx):
要避免对 RACF 数据库进行高成本扫描,请确保所有 HFS 文件都具有有效的 GID 和 UID。********************************* Top of Data ********************. . CLASS NAME(IRRGMAP) EMAJ(GMAP) CLASS NAME(IRRUMAP) EMAJ(UMAP) CLASS NAME(IRRGTS) EMAJ(GTS) CLASS NAME(IRRACEE) EMAJ(ACEE) . ******************************** Bottom of Data ******************
- 请不要对 UNIX 文件系统中用于控制对象访问权的 RACF (SAF) 类启用全局审计 ALWAYS。如果在 SETR LOGOPTIONS 中对 RACF 类 DIRACC、DIRSRCH、FSOBJ 或 FSSEC 指定了审计 ALWAYS,那么会发生严重的性能降级。如果需要进行审计,那么仅在使用 SETR LOGOPTIONS 时审计失败,并且审计仅对于需要审计的所选对象才会成功。在更改这些类的审计级别之后,请始终验证该更改未对响应时间或 CPU 使用率产生不可接受的影响。