[z/OS]

IBM HTTP Server V5.3 para z/OS: Parte 4: Informações Básicas

Vários recursos no IBM® HTTP Server V5.3 para z/OS estão disponíveis no IBM HTTP Server, mas implementados de forma diferente. Saiba mais sobre as principais diferenças na configuração básica dos dois servidores da web.

A parte e os capítulos correspondem aos da publicação número SC34-4826-09 do guia z/OS HTTP Server Planning, Install, and Using para IBM HTTP Server V5.3 for z/OS.

Os seguintes tópicos aplicam-se ao capítulo 7:
Os seguintes tópicos aplicam-se ao capítulo 8:
Os seguintes tópicos aplicam-se ao capítulo 9:

Como Entregar Arquivos

O IBM HTTP Server pode entregar arquivos estáticos ou executar arquivos de script CGI. Estes arquivos podem estar em diretórios padrão ou em diretórios que forem especificados. É possível usar diversas diretivas para entregar estes arquivos. Use a seção Diretório para agrupar as diretivas e especificar que elas se aplicam a um determinado diretório.

Os arquivos estáticos estão no diretório install_root/htdocs por padrão. É possível especificar um diretório alternativo na diretiva de Alias para mapear o diretório alternativo em um prefixo de endereço da web. Em seguida, é possível criar ou copiar uma seção Diretório e fazê-lo apontar para o diretório alternativo. Por exemplo, é possível copiar a diretiva Diretório que especifica o diretório padrão install_root/htdocs e alterar do diretório padrão para o diretório install_root/static.

Os scripts CGI são executados a partir do diretório install_root/cgi-bin/ por padrão. É possível especificar um diretório alternativo na diretiva ScriptAlias para mapear o diretório alternativo em um prefixo de endereço da web. Em seguida, é possível criar ou copiar uma seção Diretório e fazê-lo apontar para o diretório alternativo. Por exemplo, é possível copiar a diretiva Diretório que especifica o diretório padrão install_root/cgi-bin/ e alterar do diretório padrão para o diretório install_root/cgi2.

Para obter mais informações sobre as diretivas, leia a documentação do Apache HTTP Server.

Como Entregar Listagens de Diretórios

Como a diretiva DirectoryIndex está configurada para index.html no arquivo padrão httpd.conf, o IBM HTTP Server entrega o arquivo de índice de diretório do index.html para solicitações de diretório. É possível configurar a diretiva DirectoryIndex para outros arquivos para o IBM HTTP Server entregar. É possível também incluir a diretiva Opções com o argumento Índices em uma seção de Diretório nova ou existente, para que o servidor retorne as informações para esse diretório. Se você incluir um + na frente do argumento Índices, então a seção Diretório herdará argumentos configurados em outras diretivas Opções. Se as diretivas DirectoryIndex e Opções não estiverem configuradas, o servidor da web retornará um erro 403.

Para obter mais informações sobre as diretivas, leia a documentação do Apache HTTP Server.

Como Configurar o Servidor

É possível administrar o IBM HTTP Server apenas adaptando os arquivos de configuração EBCDIC.

O arquivo de configuração padrão do IBM HTTP Server é install_root/conf/httpd.conf. Se deseja revisar ou recuperar os padrões enviados, é possível localizá-los no arquivo install_root/conf/httpd.conf.default.

Arquivos para Backup

Faça backups periódicos dos seguintes arquivos:
  • O arquivo de configuração que, por padrão, é o arquivo install_root/conf/httpd.conf
  • O arquivo variável de ambiente, que é o arquivo install_root/bin/envvars
  • Arquivos Secure Sockets Layer (SSL), tais como os seguintes arquivos:
    • Arquivos de bancos de dados principais, que possuem uma extensão kdb
    • Arquivos stash, que possuem uma extensão sth
    • Arquivos de banco de dados de solicitação, que têm uma extensão rdb
    • Arquivos de lista de revogação de certificado, que têm uma extensão crl
    • Arquivos de certificados, que possuem uma extensão de suporte
  • Saída de comandos como o comando install_root/bin/htpasswd, que pode ser usado para controle de acesso
  • Listas de grupos editados à mão
  • Qualquer conteúdo entregue em solicitações HTTP, como arquivos HTML, imagens, scripts Java, folhas de estilo em cascata e scripts CGI

Suporte à Criptografia

O governo dos EUA e os governos fora dos EUA regulam os produtos usados para criptografia e proíbem a sua exportação, a menos que seu tamanho principal seja estritamente limitado. Como o governo dos EUA atualiza as suas leis de exportação e os governos fora dos EUA atualizam suas regras de importação, os comprimentos das chaves suportados e as especificações de códigos podem mudar.

O IBM HTTP Server suporta os códigos SSL listados no tópico Especificações de Cifras SSL.

Criptografia de Hardware

É possível usar a criptografia de hardware para melhorar o desempenho de sessões SSL entre o cliente e o servidor. De longe, o maior ganho em desempenho para o servidor da web é no handshake SSL. O handshake usa chaves assimétricas e funções. O servidor da web utiliza tecnologia RSA para implementar a capacidade assimétrica. Ao implementar o SSL sem criptografia de hardware, as funções assimétricas são muito mais lentas do que as funções simétricas. Assim, ao implementar a criptografia de hardware com o servidor da web, certifique-se de configurar corretamente suas Chaves Mestras. Use o software Integrated Cryptographic Services Facility (ICSF), para que você possa tirar proveito do boost de desempenho. As Chaves Mestras assimétricas não são as mesmas que as chaves RSA do servidor da web.

As especificações de códigos Data Encryption Standard (DES) Triple-DES usam chaves simétricas para manipular a transmissão de dados. A transmissão de dados pode ou não pode ser mais rápida em hardware. Se a transmissão de dados é mais rápida em hardware ou software, vai depender da dimensão do fluxo de dados. O SSL deve estar enviando fluxos relativamente pequenos, geralmente de 4K bytes, ou menos. Fluxos de dados menores tendem a ser mais rápidos em software. Fluxos mid-range podem ser mais rápidos em hardware ou software. Fluxos muito grandes são mais rápidos em hardware.

Ao implementar a criptografia de hardware, tenha em mente estes pontos:
  • O servidor da web usa tecnologia RSA para o handshake SSL. O handshake é um recurso assimétrico e usa pares de chaves RSA público-privadas. É possível gerar chaves RSA em software ou hardware.
  • Se você gerar as chaves RSA em software, será possível usar os comandos RACF ou o utilitário gskkyman .
  • Defina os comandos RACF para permitir IDs do usuário e o ID do servidor da web para os perfis na classe de recurso geral CSFSERV. A classe de recurso geral CSFSERV controla o uso de software ICSF.

Para obter informações sobre como implementar a criptografia de hardware, leia os manuais apropriados. Por exemplo, leia o z/OS Processor Resource/Systems Management Planning Guide no portal de suporte IBM.. Além disso, é possível ler o z/OS Cryptographic Services ICSF Administrator's Guide e o z/OS Cryptographic Services ICSF System Programmer's Guide, disponíveis no z/OS Internet Library.

Como Verificar se a Criptografia de Hardware É Usada para Criptografia do Servidor da Web.

ICSF é a interface de software para o hardware de criptografia. Use esta lista de verificação para determinar se o seu servidor da web está trabalhando com criptografia de hardware.
  • Verifique se IDs de usuário e a identificação do servidor da web têm acesso a ICSF.
  • Verifique se a tarefa ICSF iniciada está ativa.
  • Execute uma ou ambas as seguintes tarefas por meio dos painéis ICSF TSO, para assegurar que o ICSF esteja funcionando corretamente:
    • Verifique se o ICSF possui Chaves Mestras PKA definidas.
    • Gere uma Chave Mestra PKA com sucesso.

Verificação para Configurar um Servidor Seguro

Para ativar o Transport Layer Security (TLS), use o exemplo de host virtual SSL no arquivo conf/httpd.conf.default. O exemplo contém os elementos necessários para ativar o TLS, incluindo uma diretiva Listen, a diretiva SSLEnable e um módulo mod_ibm_ssl.

O IBM HTTP Server usa arquivos keystore CMS SSL, que possuem uma extensão kdb. É possível usar o utilitário gskkyman ou o comando RACF RACDCERT para criar e administrar um arquivo keystore.
Atenção: Não compartilhe esses arquivos keystore entre o z/OS e plataformas distribuídas.

Como alterar a Ordem Padrão dos Níveis de Criptografia Utilizados pelo Servidor da Web

É possível usar a diretiva SSLCipherSpec para controlar a ordem dos níveis de criptografia. O IBM HTTP Server sempre aplica a ordem de preferência. Leia sobre a diretiva SSLCipherSpec no tópico das diretivas SSL.

Como Configurar a Proteção para Recursos do Servidor

As etapas a seguir estão no guia z/OS HTTP Server Planning, Install, and Using para IBM HTTP Server V5.3 for z/OS. As informações associadas a cada etapa são as informações necessárias para executar a etapa no IBM HTTP Server.

Regras para Especificar Nomes de Usuários, Nomes de Grupos e Modelos de Endereços

Não é possível permitir acesso com base em uma combinação de nome de usuário e endereço, como bob@192.168.1.1 e steve@192.168.2.2, sem gravar seu próprio módulo Apache para autorização.

Uso de Arquivos de Grupos em Configurações de Proteção

Um arquivo de grupos no IBM HTTP Server é apenas um mapeamento a partir de um nome de grupo para uma lista de usuários. Ele não pode ter definições aninhadas ou incluir especificações de endereço.

Arquivos de Lista de Controle de Acesso

O IBM HTTP Server não possui arquivos de lista de controle de acesso. É possível usar os arquivos .htaccess para limitar o acesso aos recursos. No entanto, evite usar arquivos .htaccess se puder atualizar o arquivo httpd.conf, porque usar arquivos .htaccess deixa o seu servidor mais lento. Como alternativa, inclua diretivas em uma diretiva <Directory> e coloque todas as diretivas no arquivo httpd.conf.

Tópico de Referência    

Termos e condições para centros de informações | Feedback

Última atualização: October 28, 2014 11:09 AM EDT
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=phil&product=ihs-dist&topic=rihs_dgwbconfig
Nome do arquivo: rihs_dgwbconfig.html