IBM® HTTP Server を始動する前に、必要な z/OS® システム構成を設定する必要があります。
ALTUSER WWWSERV OMVS(MEMLIMIT(512M))
MEMLIMIT の設定方法の完全な説明については、「z/OS MVS Programming Extended Addressability Guide」(SA22-7614) のセクション『Limiting the use of memory objects』を参照してください。 この文書は、z/OS Internet Library からリンクを張ることができます。
IBM HTTP Server は、約 5.4 メガバイトの 64 ビット仮想メモリーをスレッドごとに必要とします。IBM HTTP Server を適切に操作するのに必要な最小の推奨 MEMLIMIT 設定は、6 * (ThreadsPerChild + 3) メガバイトです。
低ポートへのアクセス許可するための構成方式についての情報は、「z/OS Communications Server IP 構成ガイド バージョン」(SC88-8926) の、『ポート・アクセス制御』および『PROFILE.TCPIP への予約済みポート番号定義の設定』のセクションを参照してください。 この文書は、z/OS Internet Library からリンクを張ることができます。
Unix システム・サービスにおけるジョブ名 (IBM HTTP Server インスタンス用のジョブ名など) の決定方法については、 「z/OS UNIX システム・サービス 計画」(GA88-8639) のセクション『OMVS アドレス・スペースのジョブ名の生成』を参照してください。この文書を z/OS Internet Library からリンクしてください。
Password example
ADDGROUP WWWGROUP OMVS(GID(999))
ADDUSER WWWSERV DFLTGRP(WWWGROUP) OMVS(UID(999)) PASSWORD(password)
パスワード句の例
ADDGROUP WWWGROUP OMVS(GID(999))
ADDUSER WWWSERV DFLTGRP(WWWGROUP) OMVS(UID(999)) PHRASE('my0users@99#701_workgroup')
セキュリティー管理者は、Web サーバー・ユーザー ID に対してパスワードを定義し、デフォルトで許可しないようにしてください。これは、非認証済みのユーザーがその Web サーバー・ユーザー ID でログインするのを防ぐためです。
ALTUSER コマンドを使用して、既存のユーザー ID のパスワードを変更することができます。RDEFINE STARTED WEBSRV1.* STDATA(USER(WWWSERV) GROUP(WWWGROUP) TRACE(YES))
RALTER PROGRAM * ADDMEM('hlq.LINKLIB'//NOPADCHK) UACC(READ)
RALTER PROGRAM * ADDMEM('hlq.SCEERUN'//NOPADCHK) UACC(READ)
RALTER PROGRAM * ADDMEM('hlq.SCLBDLL') UACC(READ)
SETROPTS WHEN(PROGRAM) REFRESH
この例では、データ・セット内のすべてのプログラムを指定するために、
アスタリスク (*) が使用されています。# extattr +ap /opt/IBM/HTTPServer/modules/mod_jauth.so
この例では、/opt/IBM/HTTPServer/ の代わりに IBM HTTP Server インストール・ロケーションを使用します(提供される apxs スクリプトを使用して、カスタム・プラグイン・モジュールをビルドすることができます。)RALTER PROGRAM * ADDMEM('hlq.SIEALNKE'//NOPADCHK) UACC(READ)
SETROPTS WHEN(PROGRAM) REFRESH
はじめてプログラム制御をオンにする場合は、
RALTER ステートメントではなく RDEFINE ステートメントを使用します。
別のセキュリティー製品を使用している場合は、
その製品の資料の指示を参照してください。RDEFINE FACILITY IRR.DIGTCERT.LIST UACC(NONE)
PE IRR.DIGTCERT.LIST CLASS(FACILITY) ID(WWWSERV) ACCESS(READ)
RDEFINE FACILITY IRR.DIGTCERT.LISTRING UACC(NONE)
PE IRR.DIGTCERT.LISTRING CLASS(FACILITY) ID(WWWSERV) ACCESS(READ)
SETR CLASSACT(FACILITY)
SETR RACLIST(FACILITY) REFRESH
RACF コマンドの完全なガイドについては、「z/OS Security Server RACF Security セキュリティー管理者のガイド」(SA88-8613) を参照してください。
この文書は、z/OS Internet Library からリンクを張ることができます。Integrated Cryptographic Services Facility (ICSF) は、暗号ハードウェアに対するソフトウェア・インターフェースです。 暗号ハードウェア機能を使用して IBM HTTP Server を実行する計画がある場合、 ICSF サービスの使用を制限することができます。ICSF サービスの使用を制限するには、 CSFSERV 一般リソース・クラス内の特定プロファイルに対して、 ユーザー ID を許可することができます。CSFSERV は ICSF ソフトウェアの使用を制御します。 ゼロ以外のユーザー ID を使用して実行するように IBM HTTP Server を定義した場合、 ゼロ以外のユーザー ID READ アクセス権を CSFSERV に与えることができます。RACF 以外のセキュリティー製品を使用している場合は、その製品の資料の指示を参照してください。
ICSF サービスの使用を制限する場合は、以下の例のコマンドのような RACF コマンドを実行します。ICSF を使用している IBM HTTP Server 以外のアプリケーションがある場合、 例をカスタマイズする必要があります。そうでない場合は、他のアプリケーションは、 ICSF サービスへのアクセス権を持たなくなります。
SETROPTS RACLIST(CSFSERV) GENERIC(CSFSERV)
RDEFINE CSFSERV CSF* UACC(NONE)
PERMIT CSF%%C CLASS(CSFSERV) ID(WWWSERV PUBLIC) ACCESS(READ)
PERMIT CSFPK% CLASS(CSFSERV) ID(WWWSERV PUBLIC) ACCESS(READ)
PERMIT CSFCK% CLASS(CSFSERV) ID(WWWSERV PUBLIC) ACCESS(READ)
SETROPTS CLASSACT(CSFSERV)
SETROPTS RACLIST(CSFSERV) GENERIC(CSFSERV) REFRESH
SETROPTS RACLIST(CSFSERV) GENERIC(CSFSERV)
RDEFINE CSFSERV CSF%%C UACC(READ)
RDEFINE CSFSERV CSFPK% UACC(READ)
RDEFINE CSFSERV CSFCK% UACC(READ)
SETROPTS CLASSACT(CSFSERV)
SETROPTS RACLIST(CSFSERV) GENERIC(CSFSERV) REFRESH
暗号デバイス上で鍵を保管するには、「z/OS Security Server RACF Security セキュリティー管理者のガイド」(SA88-8613) のセクション『統合暗号化サービス機能 (ICSF) の考慮事項』を参照してください。
ICSF オプションの詳細情報については、 「z/OS Cryptographic Services System SSL (Secure Sockets Layer) プログラミング」(SD88-6252) の セクション『ハードウェア暗号化機能と System SSL の併用』を参照してください。
これらの文書は両方共に、z/OS Internet Library からリンクを張ることができます。
典型的な設定は export _BPX_JOBNAME=HTTPD です。 デフォルトでは、HTTPD1、HTTPD2、HTTPD3 などの増分整数をジョブ名に追加します。 詳細情報については、「z/OS UNIX システム・サービス 計画」(GA88-8639) のセクション『OMVS アドレス・スペースのジョブ名の生成』を参照してください。 この文書を z/OS Internet Library からリンクしてください。
RDEFINE FACILITY BPX.JOBNAME UACC(NONE)
SETROPTS RACLIST(FACILITY) REFRESH
PERMIT BPX.JOBNAME CLASS(FACILITY) ACCESS(READ) ID(WWWSERV)
SETROPTS RACLIST(FACILITY) REFRESH
RLIST FACILITY BPX.JOBNAME ALL
詳細情報については、「z/OS UNIX システム・サービス 計画」(GA88-8639) のセクション『BPX.* FACILITY クラス・プロファイルのセットアップ』を参照してください。この文書を z/OS Internet Library からリンクしてください。