![[z/OS]](../images/ngzos.gif)
有关定制 WebSphere Application Server 的资源访问控制设施提示
了解用来通过使用 RACF®(或安全性产品)中的 CBIND、SERVER 和 STARTED 类来保护服务器资源的安全性机制很重要。本文描述了这些机制以及用来管理安全性环境的一些技术。
有关保护 WebSphere® 服务器和资源的 RACF 概要文件使用以下类的详细信息:
- CBIND:访问服务器以及服务器中的对象
- SERVER:通过服务方区域访问控制器
- STARTED:使用户标识和组与已启动的过程 (STC) 相关联
您必须为单元中的另一个服务器添加必需的 RACF 概要文件和许可权。
可以为测试环境定义最小的一组用户、组和概要文件。在这种测试环境中,单个服务器的安全性不是考虑的重点。
RACF 概要文件(CBIND、SERVER 和 STARTED):在 系统授权工具类和概要文件 中可以找到有关 WebSphere 使用的 RACF 概要文件的基本信息。本节还添加了一些有关 CBIND、SERVER 和 STARTED 类概要文件的附加详细信息。
用户标识和组标识:使用 WebSphere z/OS® Profile Management Tool 或 zpmt
命令时,BBOCBRAK 作业将生成一些 RACF 命令,然后可以对 BBOWBRAK 作业运行这些命令。关键字:
CR = Controller Region
SR = Servant Region
CFG = Configuration (group)
server = server short name
cluster = generic server (short) name (also called cluster transition name)
首先,按如下所示定义了六个用户和六个组,它们是以符号形式显示的,用来帮助您了解以后在各种许可权中如何使用它们:
<CR_userid> <CR_groupid>, <CFG_groupid>
<SR_userid> <SR_groupid>, <CFG_groupid>
<demn_userid> <demn_groupid>, <CFG_groupid>
<admin_userid> <CFG_groupid>
<client_userid> <client_groupid>
<ctracewtr_userid> <ctracewtr_groupid>
下面是用来保护 WebSphere 服务器和资源的各种概要文件以及许可权和访问级别。
CBIND 类概要文件:CBIND 类概要文件可以采用两种格式和级别来保护对应用程序服务器以及这些服务器中的对象的访问:
CBIND Class profiles - access to generic servers
CB.BIND.<cluster> UACC(READ); PERMIT <CR_group> ACC(CONTROL)
CBIND Class profiles - access to objects in servers
CB.<cluster> UACC(READ) PERMIT <CR_group> ACC(CONTROL)
SERVER 类概要文件:当前可以使用两种格式的 SERVER 类概要文件来保护对服务器控制器区域的访问。必须根据是否启用了“动态应用程序环境”(DAE) 支持来定义单一格式的 SERVER 概要文件。这是使用 WLM DAE APAR OW54622(它适用于 z/OS V1R2 或更高版本)来完成的。
在 WebSphere z/OS
Profile Management Tool 或 zpmt 命令中,同时预定义了这两种格式,但是在运行时实际上只需要其中一种格式。需要的格式由 WebSphere Application Server for z/OS 运行时根据“动态应用程序环境”(DAE) 支持的可用性来动态确定。
- 以下命令用于访问使用静态应用程序环境(不具有 APAR 支持)的控制器:RDEFINE CB.&<server>.&<cluster> UACC(NONE); PERMIT &<SR_userid> ACC(READ)。在此示例中,server = 服务器名称,cluster = 集群名称或集群过渡名称(如果尚未创建集群),而 SR = 服务器区域的 MVS 用户标识。
- 以下命令用于访问使用动态应用程序环境(具有 WLM DAE APAR 支持)的控制器:CB.&<server>.&<cluster>.<cell> UACC(NONE); PERMIT &<SR_userid> ACC(READ)。在此示例中,server = 服务器名称,cluster = 集群名称或集群过渡名称(如果尚未创建集群),而 cell = 单元的短名称,SR = 服务器区域的 MVS 用户标识。
STARTED 类概要文件:可以使用两种格式的 STARTED 类概要文件来对控制器区域和其他 STC 指定用户标识和组标识,但是应根据以下条件来指定:
已启动的任务是使用 MGCRE 接口还是使用地址空间创建 (ASCRE) 接口来启动的。工作负载管理器 (WLM) 使用 ASCRE 接口来启动服务方区域:
STARTED Class profiles - (MGCRE)
<<CR_proc>.<CR_jobname> STDATA(USER(CR_userid) GROUP(CFG_groupid))
<demn_proc>.* STDATA(USER(demn_userid) GROUP(CFG_groupid))
STARTED Class profiles - (ASCRE)
<SR_jobname>.<SR_jobname> STDATA(USER(SR_userid) GROUP(CFG_groupid))
STARTED Class profiles for IJP - (MGCRE)
<MQ_ssname>.* STDATA(USER(IJP_userid) GROUP(CFG_groupid))
为新服务器生成新的用户标识和概要文件:如果需要对每个新的应用程序服务器使用唯一用户标识,那么必须在 RACF 数据库中定义这些用户、组和概要文件。
其中一项技术是使用 WebSphere z/OS Profile Management Tool 或
zpmt 命令来编辑 BBOWBRAK 成员的 .DATA 分区数据集的副本,并将下列条目更改为新的用户、组、唯一 New_server 名称和 New_cluster 名称概要文件:
- 如果需要新服务器的唯一用户标识,那么定义三个新用户并将它们连接至下列组:
<New_CR_userid> <CR_groupid>, <CFG_groupid> <New_SR_userid> <SR_groupid>, <CFG_groupid> <New_client_userid> <client_groupid>
- 新集群(通用服务器短名称)的 CBIND 类概要文件:
CB.BIND.<New_cluster> CB.<New_cluster>
- 新服务器和集群的 SERVER 类概要文件:
CB.<New_server>.<New_cluster> CB.<New_server>.<New_cluster>.<cell>
- 新服务器的控制器和服务方区域的 STARTED 类概要文件:
<CR_proc>.<New_CR_jobname> STDATA(USER(New_CR_userid) GROUP(CFG_groupid)) <New_SR_jobname>.* STDATA(USER(New_SR_userid) GROUP(CFG_groupid))
最低要求的概要文件:要使 RACF 数据集中的用户数、组数和概要文件数最小,可以使用一个用户标识、一个组标识和非常普通的概要文件,以使它们包含同一单元中的多个服务器。下面是一些概要文件的示例,它们只具有一个用户 (T5USR)、一个组 (T5GRP) 以及 T5CELL 中的一组服务器(服务器短名称以 T5SRV* 开头,通用服务器名以 T5CL* 开头)。还可以对“完整 JMS 提供程序”(IJP) 和 WebSphere Application Server Network Deployment (ND) 配置使用此技术。
/* CBIND Class profiles (UACC) - access to generic servers */
CB.BIND.T5CL* UACC(READ); PERMIT ID(T5GRP) ACC(CONTROL)
/* CBIND Class profiles (UACC) - access to objects in servers */
CB.T5CL* UACC(READ); PERMIT ID(T5GRP) ACC(CONTROL)
/* SERVER Class profiles - access to controllers (old style) */
CB.*.T5CL* UACC(NONE); PERMIT ID(T5USR) ACC(READ)
/* SERVER Class profiles - acc to controllers (new style) */
CB.*.*.T5CELL UACC(NONE); PERMIT ID(T5USR) ACC(READ)
/* STARTED Class profiles - (MGCRE) - for STCs, except servants */
T5ACR.* STDATA(USER(T5USR) GROUP(T5GRP)) /* controller*/
T5DMN.* STDATA(USER(T5USR) GROUP(T5GRP)) /* daemon */
T5CTRW.* STDATA(USER(T5USR) GROUP(T5GRP)) /* CTrace WTR*/
WMQX*.* STDATA(USER(T5USR) GROUP(T5GRP)) /* IJP */
/* STARTED Class profiles - (ASCRE - for servants) */
T5SRV*.* STDATA(USER(T5USR) GROUP(T5GRP)) /* servant */