在启动 IBM HTTP Server 之前,必须设置一些必需的 z/OS 系统配置。
为了运行 IBM HTTP Server,必须设置下列 z/OS 系统配置:
ALTUSER WWWSERV OMVS(MEMLIMIT(512M))
有关如何设置 MEMLIMIT 的完整描述,请参阅 z/OS MVS Programming Extended Addressability Guide(SA22-7614)中的 Limiting the use of memory objects 一节。可以从 z/OS 因特网库链接至此文档。
对于每个线程,IBM HTTP Server 大约需要 5.4 兆字节的 64 位虚拟内存。对于正确的 IBM HTTP Server 操作,建议的最小 MEMLIMIT 设置为 6 * (ThreadsPerChild + 3) 兆字节。
有关允许对低端口进行访问的配置方法的更多信息,请参阅 z/OS Communications Server IP Configuration Guide(SC31-8775)中的 Port access control 和 Setting up reserved port number definitions in PROFILE.TCPIP 这两节。可以从 z/OS 因特网库链接至此文档。
有关如何确定 Unix System Services 作业名(例如,IBM HTTP Server 实例的作业名)的解释,请参阅 z/OS UNIX System Services Planning(GA22-7800)中的 Generating jobnames for OMVS address spaces 一节。请从 z/OS 因特网库链接至此文档。
Password example ADDGROUP WWWGROUP OMVS(GID(999)) ADDUSER WWWSERV DFLTGRP(WWWGROUP) OMVS(UID(999)) PASSWORD(password)
Password phrase example ADDGROUP WWWGROUP OMVS(GID(999)) ADDUSER WWWSERV DFLTGRP(WWWGROUP) OMVS(UID(999)) PHRASE('my0users@99#701_workgroup')安全性管理员应该定义 Web 服务器用户标识的密码而不是允许使用缺省密码,以防止未授权用户能够使用该用户标识登录。ALTUSER 命令可用来修改现有用户标识的密码。
RDEFINE STARTED WEBSRV1.* STDATA(USER(WWWSERV) GROUP(WWWGROUP) TRACE(YES))
RALTER PROGRAM * ADDMEM('hlq.LINKLIB'//NOPADCHK) UACC(READ) RALTER PROGRAM * ADDMEM('hlq.SCEERUN'//NOPADCHK) UACC(READ) RALTER PROGRAM * ADDMEM('hlq.SCLBDLL') UACC(READ) SETROPTS WHEN(PROGRAM) REFRESH在本示例中,在数据集中使用星号(*)来指定所有程序。
# extattr +ap /opt/IBM/HTTPServer/modules/mod_jauth.so在本示例中,使用 /opt/IBM/HTTPServer/ 替换 IBM HTTP Server 安装位置。(可以使用附带的 apxs 脚本来构建定制插件模块。)
RALTER PROGRAM * ADDMEM('hlq.SIEALNKE'//NOPADCHK) UACC(READ) SETROPTS WHEN(PROGRAM) REFRESH如果您是首次打开程序控制,那么使用 RDEFINE 语句取代 RALTER 语句。如果使用的是另一安全性产品,那么参阅该产品的文档以了解指示信息。
RDEFINE FACILITY IRR.DIGTCERT.LIST UACC(NONE) PE IRR.DIGTCERT.LIST CLASS(FACILITY) ID(WWWSERV) ACCESS(READ) RDEFINE FACILITY IRR.DIGTCERT.LISTRING UACC(NONE) PE IRR.DIGTCERT.LISTRING CLASS(FACILITY) ID(WWWSERV) ACCESS(READ) SETR CLASSACT(FACILITY) SETR RACLIST(FACILITY) REFRESH有关 RACF 命令的完整指南,请参阅 z/OS Security Server RACF Security Administrator's Guide(SA22-7683)。可以从 z/OS 因特网库链接至此文档。
集成加密服务工具(ICSF)是加密硬件的软件接口。如果您打算运行具有加密硬件功能的 IBM HTTP Server,那么可以限制 ICSF 服务的使用。要限制 ICSF 服务的使用,您可以允许用户标识对 CSFSERV 一般资源类中的特定概要文件进行访问。CSFSERV 控制 ICSF 软件的使用。如果已经将 IBM HTTP Server 定义为使用非零用户标识来执行,那么可以授予该非零用户标识对 CSFSERV 的读访问权。如果使用的是 RACF 以外的安全性产品,那么参阅该产品的文档以了解指示信息。
如果想要限制 ICSF 服务的使用,请发出类似下列示例中命令的 RACF 命令。如果有 IBM HTTP Server 以外的应用程序在使用 ICSF,那么您必须定制这些示例。否则,其他应用程序将不再能访问 ICSF 服务。
SETROPTS RACLIST(CSFSERV) GENERIC(CSFSERV) RDEFINE CSFSERV CSF* UACC(NONE) PERMIT CSF%%C CLASS(CSFSERV) ID(WWWSERV PUBLIC) ACCESS(READ) PERMIT CSFPK% CLASS(CSFSERV) ID(WWWSERV PUBLIC) ACCESS(READ) PERMIT CSFCK% CLASS(CSFSERV) ID(WWWSERV PUBLIC) ACCESS(READ) SETROPTS CLASSACT(CSFSERV) SETROPTS RACLIST(CSFSERV) GENERIC(CSFSERV) REFRESH
SETROPTS RACLIST(CSFSERV) GENERIC(CSFSERV) RDEFINE CSFSERV CSF%%C UACC(READ) RDEFINE CSFSERV CSFPK% UACC(READ) RDEFINE CSFSERV CSFCK% UACC(READ) SETROPTS CLASSACT(CSFSERV) SETROPTS RACLIST(CSFSERV) GENERIC(CSFSERV) REFRESH
要对加密设备执行密钥存储,请参阅 z/OS Security Server RACF Security Administrator's Guide(SA22-7683)中的 Integrated Cryptographic Service Facility (ICSF) Considerations 一节。
有关 ICSF 选项的信息,请参阅 z/OS Cryptographic Services System Secure Sockets Layer (SSL) Programming(SC24-5901)中的 Using Hardware Cryptographic Features with System SSL 一节。
可以从 z/OS 因特网库链接至这两个文档。
典型设置如下:export _BPX_JOBNAME=HTTPD。缺省行为是将递增的整数追加至作业名,例如,HTTPD1、HTTPD2 和 HTTPD3。有关更多信息,请参阅 z/OS UNIX System Services Planning(GA22-7800)中的 Generating jobnames for OMVS address spaces 一节。请从 z/OS 因特网库链接至此文档。
RDEFINE FACILITY BPX.JOBNAME UACC(NONE) SETROPTS RACLIST(FACILITY) REFRESHPERMIT BPX.JOBNAME CLASS(FACILITY) ACCESS(READ) ID(WWWSERV) SETROPTS RACLIST(FACILITY) REFRESHRLIST FACILITY BPX.JOBNAME ALL有关更多信息,请参阅 z/OS UNIX System Services Planning(GA22-7800)中的 Setting up the BPX.* FACILITY class profiles 一节。请从 z/OS 因特网库链接至此文档。