Bevor Sie IBM HTTP Server starten, müssen Sie zuerst die erforderlichen z/OS-Systemkonfigurationen durchführen.
Führen Sie die folgenden z/OS-Systemkonfigurationen durch, damit Sie IBM HTTP Server ausführen können:
ALTUSER WWWSERV OMVS(MEMLIMIT(512M))
Eine vollständige Beschreibung der Konfiguration von MEMLIMIT finden Sie im Abschnitt "Limiting the use of memory objects" in der z/OS-Veröffentlichung MVS Programming Extended Addressability Guide (IBM Form SA22-7614). Sie können dieses Dokument über den Link z/OS-Internet-Bibliothek aufrufen.
IBM HTTP Server benötigt pro Thread ungefähr 5,4 MB mit einem virtuellen 64-Bit-Speicher. Die empfohlene Mindesteinstellung für MEMLIMIT für eine ordnungsgemäße Ausführung von IBM HTTP Server beträgt: 6 * (ThreadsPerChild + 3) MB.
Ausführliche Informationen zu den Konfigurationsmethoden für den Zugriff auf Ports mit niedrigen Portnummern, finden Sie in den Abschnitten "Port access control" und "Setting up reserved port number definitions in PROFILE.TCPIP" in der z/OS-Veröffentlichung Communications Server IP Configuration Guide (IBM Form SC31-8775). Sie können dieses Dokument über den Link z/OS-Internet-Bibliothek aufrufen.
Erläuterungen zur Bestimmung von Unix-System-Services-Jobnamen (wie sie für Instanzen von IBM HTTP Server verwendet werden) finden Sie im Abschnitt "Generating jobnames for OMVS address spaces" in z/OS-Veröffentlichung UNIX System Services Planning (IBM Form GA22-7800). Sie können dieses Dokument über den Link z/OS-Internet-Bibliothek aufrufen.
Kennwortbeispiel ADDGROUP WWWGROUP OMVS(GID(999)) ADDUSER WWWSERV DFLTGRP(WWWGROUP) OMVS(UID(999)) PASSWORD(Kennwort)
Beispiel für Kennwortphrase ADDGROUP WWWGROUP OMVS(GID(999)) ADDUSER WWWSERV DFLTGRP(WWWGROUP) OMVS(UID(999)) PHRASE('my0users@99#701_workgroup')Der Sicherheitsadministrator sollte das Kennwort für die Webserver-Benutzer-ID festlegen und nicht den Standardwert verwenden, um zu verhindern, dass nicht autorisierte Benutzer sich mit dieser Benutzer-ID anmelden können. Mit dem Befehl "ALTUSER" kann das Kennwort einer vorhandenen Benutzer-ID geändert werden.
RDEFINE STARTED WEBSRV1.* STDATA(USER(WWWSERV) GROUP(WWWGROUP) TRACE(YES))
RALTER PROGRAM * ADDMEM('hlq.LINKLIB'//NOPADCHK) UACC(READ) RALTER PROGRAM * ADDMEM('hlq.SCEERUN'//NOPADCHK) UACC(READ) RALTER PROGRAM * ADDMEM('hlq.SCLBDLL') UACC(READ) SETROPTS WHEN(PROGRAM) REFRESHIn diesem Beispiel wurde ein Stern (*) verwendet, um alle Programme im Datensatz anzugeben.
# extattr +ap /opt/IBM/HTTPServer/modules/mod_jauth.soErsetzen Sie in diesem Beispiel das Installationsverzeichnis von IBM HTTP Server durch /opt/IBM/HTTPServer/. (Sie können angepasste Plug-in-Module mit dem bereitgestellten Script apxs erstellen.)
RALTER PROGRAM * ADDMEM('hlq.SIEALNKE'//NOPADCHK) UACC(READ) SETROPTS WHEN(PROGRAM) REFRESHWenn Sie die Programmsteuerung das erste Mal aktivieren, sollten Sie die RDEFINE-Anweisungen anstelle der RALTER-Anweisungen verwenden. Wenn Sie ein anderes Sicherheitsprodukt verwenden, lesen Sie die Dokumentation zu diesem Produkt, um Anweisungen hierzu zu erhalten.
RDEFINE FACILITY IRR.DIGTCERT.LIST UACC(NONE) PE IRR.DIGTCERT.LIST CLASS(FACILITY) ID(WWWSERV) ACCESS(READ) RDEFINE FACILITY IRR.DIGTCERT.LISTRING UACC(NONE) PE IRR.DIGTCERT.LISTRING CLASS(FACILITY) ID(WWWSERV) ACCESS(READ) SETR CLASSACT(FACILITY) SETR RACLIST(FACILITY) REFRESHEine vollständige Übersicht über die RACF-Befehle finden Sie in der z/OS-Veröffentlichung Security Server RACF Security Administrator's Guide (IBM Form SA22-7683). Sie können dieses Dokument über den Link z/OS-Internet-Bibliothek aufrufen.
ICSF (Integrated Cryptographic Services Facility) ist die Softwareschnittstelle für Verschlüsselungshardware. Wenn Sie IBM HTTP Server mit der Funktion für Verschlüsselungshardware ausführen möchten, können Sie die Verwendung der ICSF-Services einschränken. Wenn Sie die Verwendung der ICSF-Services einschränken möchten, können Sie Benutzer-IDs Berechtigungen für bestimmte Profile in der allgemeinen Ressourcenklasse CSFSERV erteilen. Mit CSFSERV wird die Verwendung der ICSF-Software gesteuert. Wenn Sie IBM HTTP Server mit einer Benutzer-ID ausführen, die ungleich null ist, können Sie dieser Benutzer-ID die Zugriffsberechtigung READ für CSFSERV erteilen. Wenn Sie nicht RACF als Sicherheitsprodukt verwenden, lesen Sie die Dokumentation zu dem entsprechenden Sicherheitsprodukt.
Wenn Sie die Verwendung der ICSF-Services einschränken möchten, setzen Sie RACF-Befehle ähnlich den in den folgenden Beispielen genannten Befehlen ab. Wenn Sie neben IBM HTTP Server Anwendungen einsetzen, die ICSF verwenden, müssen Sie die Beispiele anpassen. Andernfalls können die anderen Anwendungen nicht mehr auf die ICSF-Services zugreifen.
SETROPTS RACLIST(CSFSERV) GENERIC(CSFSERV) RDEFINE CSFSERV CSF* UACC(NONE) PERMIT CSF%%C CLASS(CSFSERV) ID(WWWSERV PUBLIC) ACCESS(READ) PERMIT CSFPK% CLASS(CSFSERV) ID(WWWSERV PUBLIC) ACCESS(READ) PERMIT CSFCK% CLASS(CSFSERV) ID(WWWSERV PUBLIC) ACCESS(READ) SETROPTS CLASSACT(CSFSERV) SETROPTS RACLIST(CSFSERV) GENERIC(CSFSERV) REFRESH
SETROPTS RACLIST(CSFSERV) GENERIC(CSFSERV) RDEFINE CSFSERV CSF%%C UACC(READ) RDEFINE CSFSERV CSFPK% UACC(READ) RDEFINE CSFSERV CSFCK% UACC(READ) SETROPTS CLASSACT(CSFSERV) SETROPTS RACLIST(CSFSERV) GENERIC(CSFSERV) REFRESH
Informationen zum Speichern von Schlüsseln auf Verschlüsselungseinheiten finden Sie im Abschnitt "Integrated Cryptographic Service Facility (ICSF) Considerations" in der z/OS-Veröffentlichung Security Server RACF Security Administrator's Guide (IBM Form SA22-7683).
Informationen zu ICSF-Optionen finden Sie im Abschnitt "Using Hardware Cryptographic Features with System SSL" in der z/OS-Veröffentlichung Cryptographic Services System Secure Sockets Layer (SSL) Programming (IBM Form SC24-5901).
Sie können diese beiden Dokumente über den Link z/OS-Internet-Bibliothek aufrufen.
Beispiel für eine typsiche Einstellung: export _BPX_JOBNAME=HTTPD. Standardmäßig wird eine ganze Zahl an den Jobnamen angehängt und hochgezählt. Beispiel: HTTPD1, HTTPD2, HTTPD3. Ausführliche Informationen finden Sie im Abschnitt "Generating jobnames for OMVS address spaces" in der z/OS-Veröffentlichung UNIX System Services Planning (IBM Form GA22-7800). Sie können dieses Dokument über den Link z/OS-Internet-Bibliothek aufrufen.
RDEFINE FACILITY BPX.JOBNAME UACC(NONE) SETROPTS RACLIST(FACILITY) REFRESHPERMIT BPX.JOBNAME CLASS(FACILITY) ACCESS(READ) ID(WWWSERV) SETROPTS RACLIST(FACILITY) REFRESHRLIST FACILITY BPX.JOBNAME ALLAusführliche Informationen finden Sie im Abschnitt "Setting up the BPX.* FACILITY class profiles" in der z/OS-Veröffentlichung UNIX System Services Planning (IBM Form GA22-7800). Sie können dieses Dokument über den Link z/OS-Internet-Bibliothek aufrufen.