Anmerkung: Vor Verwendung dieser Informationen sollten die allgemeinen Informationen unter Bemerkungen gelesen werden.
|
Diese Ausgabe bezieht sich auf IBM®
Rational Developer for z Systems Version
9.5 (Programmnummer 5724-T07 oder einen Teil von Programmnummer 5697-CDT) und - sofern in neuen Ausgaben nicht anders angegeben -
auf alle nachfolgenden Releases und Modifikationen.
Diese Veröffentlichung ist eine Übersetzung des Handbuchs
IBM Rational Developer for z Systems Version 9.5 Host Configuration Reference Guide,
IBM Form SC27-8578-00,
herausgegeben von International Business Machines Corporation, USA
(C) Copyright International Business Machines Corporation 2000, 2015
Informationen, die nur für bestimmte Länder Gültigkeit haben und für Deutschland, Österreich und die Schweiz nicht zutreffen, wurden in dieser Veröffentlichung im Originaltext übernommen.
Möglicherweise sind nicht alle in dieser Übersetzung aufgeführten Produkte in Deutschland angekündigt und verfügbar; vor Entscheidungen empfiehlt sich der Kontakt mit der zuständigen IBM Geschäftsstelle.
Änderung des Textes bleibt vorbehalten.
Herausgegeben von:
TSC Germany
Kst. 2877
Dezember 2015
Dieses Dokument enthält Hintergrundinformationen zu verschiedenen Konfigurationstasks von IBM Rational Developer for z Systems selbst sowie zu anderen z/OS-Komponenten und -Produkten (wie WLM und TCP/IP).
Die Informationen in diesem Dokument gelten für alle Pakete von IBM Rational Developer for z Systems Version 9.5.1.
Die aktuellsten Versionen dieses Dokuments finden Sie im Handbuch IBM Rational Developer for z Systems Hostkonfigurationsreferenz (SC43-2898) unter 'http://www-05.ibm.com/e-business/linkweb/publications/servlet/pbi.wss?CTY=US&FNC=SRX&PBL=SC43-2898'.
Die aktuellsten Versionen der kompletten Dokumentation, einschließlich Installationsanweisungen, White Papers, Podcasts und Lernprogrammen, finden Sie auf der Bibliotheksseite der IBM Rational Developer for z Systems-Website (http://www-01.ibm.com/software/sw-library/en_US/products/Z964267S85716U24/).
Dieses Handbuch wendet sich an Systemprogrammierer, die IBM Rational Developer for z Systems Version 9.5.1 konfigurieren und optimieren.
Während die eigentlichen Konfigurationsschritte in einer anderen Veröffentlichung beschrieben werden, werden in dieser Veröffentlichung verschiedene zugehörige Themen (wie Optimierung, Sicherheitskonfiguration usw.) ausführlich aufgelistet. Voraussetzung für die Verwendung dieses Handbuchs ist, dass Sie mit z/OS UNIX System Services und MVS-Hostsystemen vertraut sind.
In diesem Abschnitt werden die Änderungen für
IBM
Rational Developer for z Systems Version
9.5.1 Hostkonfigurationsreferenz, SC43-2898-00 (Aktualisierung vom Dezember 2015) zusammengefasst.
Technische Änderungen oder Zusätze zum Text und den Abbildungen sind durch eine vertikale Linie auf der linken Seite der Änderung angegeben.
Neue Informationen:
Entfernte Informationen:
In Version 9.5.1 wurden die zu RSE und JES Job Monitor gehörigen Funktionen von IBM
Rational Developer for z Systems in ein anderes Produkt (IBM Explorer
for z/OS) verschoben. Dies gilt auch für die zugehörige Dokumentation.
Dieses Dokument enthält Informationen, die bisher im Handbuch IBM
Rational Developer for z Systems Version
9.5 Hostkonfigurationsreferenz (IBM Form SC12-4489-09) enthalten waren.
Dieses Dokument enthält Informationen, die bisher im Handbuch IBM Rational Developer for System z Version
9.1.1 Hostkonfigurationsreferenz (IBM Form SC12-4489-08) enthalten waren.
Dieses Dokument enthält Informationen, die bisher im Handbuch IBM Rational Developer for System z Version 9.1.1 Hostkonfigurationsreferenz (IBM Form SC12-4489) enthalten waren.
Dieses Dokument enthält Informationen, die bisher im Handbuch IBM Rational Developer for System z Version 9.0.1 Hostkonfigurationsreferenz (IBM Form SC12-4489-06) enthalten waren.
Dieses Dokument enthält Informationen, die bisher im Handbuch IBM Rational Developer for System z Version 9.0.1 Hostkonfigurationsreferenz (IBM Form SC12-4489-05) enthalten waren.
Neue Informationen:
Dieses Dokument enthält Informationen, die bisher im Handbuch IBM Rational Developer for System z Version 8.5.1 Hostkonfigurationsreferenz (IBM Form SC12-4489-03) enthalten waren.
Dieses Dokument enthält Informationen, die bisher im Handbuch IBM Rational Developer for System z Version 8.5 Hostkonfigurationsreferenz (IBM Form SC12-4489-02) enthalten waren.
In diesem Abschnitt werden die in diesem Dokument enthaltenen Informationen zusammengefasst.
Der Host von Developer for z Systems umfasst einige interagierende Komponenten, damit der Client auf die Host-Services und -daten zugreifen kann. Wenn Sie das Design dieser Komponenten verstehen, können Sie die richtigen Konfigurationsentscheidungen treffen.
Developer for z
Systems
interagiert mit anderen Hostkomponenten, was sich auf die Sicherheit auswirkt.
Developer for z Systems verwendet TCP/IP, um Benutzern einer Workstation den Zugriff auf Mainframe-Computer bereitzustellen, wenn diese selbst kein Mainframe-Computer ist. TCP/IP wird außerdem für die Datenübertragung zwischen verschiedenen Komponenten und anderen Produkten verwendet.
Im Gegensatz zu herkömmlichen z/OS-Anwendungen ist Developer for z Systems keine einzelne Anwendung, die von Workload Manager (WLM) auf einfache Weise erkannt wird. Developer for z Systems umfasst mehrere interagierende Komponenten, damit der Client auf die Host-Services und -daten zugreifen kann. Einige dieser Services sind in verschiedenen Adressräumen aktiv und werden somit verschiedenen WLM-Klassifikationen zugeordnet.
Developer for z
Systems erweitert den Push-to-Client von z/OS Explorer (der hostbasierten Clientsteuerung) mit der Unterstützung für Projektdefinitionen.
Dieses Kapitel enthält nützliche Informationen für CICS Transaction Server-Administratoren.
Dieser Abschnitt soll Sie bei einigen allgemeinen Problemen unterstützen, die beim
Konfigurieren von AT-TLS (Application Transparent Transport Layer Security) oder beim
Überprüfen oder Modifizieren einer vorhandenen Konfiguration auftreten können.
Der Host von Developer for z Systems umfasst einige interagierende Komponenten, damit der Client auf die Host-Services und -daten zugreifen kann. Wenn Sie das Design dieser Komponenten verstehen, können Sie die richtigen Konfigurationsentscheidungen treffen.
Developer for z
Systems baut auf
IBM Explorer for z/OS auf.
z/OS Explorer-spezifiche Informationen finden Sie in “Aspekte bei der
Sicherheit” (“Security
consideration”) im Handbuch IBM Explorer
for z/OS Host Configuration Reference (IBM Form SC27-8438).
Die Beschreibung im vorherigen Abschnitt und in der Liste verdeutlichen die zentrale Rolle von RSE. Mit ein paar wenigen Ausnahmen läuft jede Clientkommunikation über RSE ab. Dies ermöglicht eine sicherheitsbezogene Netzkonfiguration, da nur eine eingeschränkte Menge an Ports für die Kommunikation zwischen Client und Host verwendet wird.
RSE besteht aus einem Dämonadressbereich, der Thread-Pooling und Adressräume steuert, um die Verbindungen und die Arbeitslast der Clients zu verwalten. Der Dämon wird als Sammelpunkt für Verbindungs- und Verwaltungszwecke eingesetzt, während die Thread-Pools die Clientarbeitslast verarbeiten.
Auf Basis der in der Konfigurationsdatei rse.env definierten Werte und der Summe aller Clientverbindungen können mehrere Adressräume von Thread-Pools durch den Dämon gestartet werden.
Abbildung 2 zeigt eine Basisübersicht über
die Eigner der Sicherheitsberechtigungsnachweise, die für verschiedene Tasks in
z/OS Explorer und Developer for z
Systems
verwendet werden.
Das Eigentumsrecht an einer Task kann in zwei Abschnitte unterteilt werden.
Gestartete Tasks gehören der Benutzer-ID, die der gestarteten Task in Ihrer Sicherheitssoftware zugewiesen wird. Alle anderen Tasks, mit Ausnahme der RSE-Thread-Pools (RSEDx), gehören der Client-Benutzer-ID.
Abbildung 2 zeigt die gestarteten Tasks in z/OS Explorer und Developer for z Systems (DBGMGR, JMON und RSED) sowie gestartete Beispieltasks und Beispielsystemservices, mit denen Developer for z Systems kommuniziert. Der USS REXEC-Tag stellt den z/OS UNIX-REXEC-Service (oder SSH-Service) dar.
Der RSE-Dämon erstellt für die Verarbeitung von Prozessclientanforderungen mindestens einen Adressraum der RSE-Thread-Pools (RSEDx). Jeder RSE-Thread-Pool unterstützt mehrere Clients und gehört demselben Benutzer wie der RSE-Dämon. Jeder Client verfügt über eigene Threads innerhalb eines Thread-Pools. Diese Threads gehören der Client-Benutzer-ID.
Abhängig von den vom Client ausgeführten Aktionen können für die Ausführung der angeforderten Aktion zusätzliche Adressräume gestartet werden. Diese gehören alle der Client-Benutzer-ID. Diese Adressräume können ein MVS-Batch-Job, eine APPC-Transaktion oder ein untergeordneter z/OS UNIX-Prozess sein. Beachten Sie, dass ein untergeordneter z/OS UNIX-Prozess in einem z/OS UNIX-Initiator (BPXAS) aktiv ist und als gestartete Task in JES angezeigt wird.
Die Erstellung dieser Adressräume wird in den meisten Fällen von einem Benutzerthread in einem Thread-Pool entweder direkt oder mithilfe von Systemservices wie ISPF ausgelöst. Der Adressraum kann aber auch von einem Fremdanbieter erstellt werden. Der z/OS UNIX-REXEC-Service oder der SSH-Service sind beim Starten von Builds in z/OS UNIX beteiligt.
Die benutzerspezifischen Adressräume werden bei Abschluss der Tasks oder bei Ablauf eines Inaktivitätszeitgebers beendet. Die gestarteten Tasks bleiben aktiv. Die in Abbildung 2 aufgeführten Adressräume bleiben für einen längeren Zeitraum im System sichtbar. Sie sollten allerdings beachten, dass z/OS UNIX so entwickelt wurde, dass es auch einige kurz andauernde, temporäre Adressräume gibt.
Developer for z Systems unterstützt mehrere Methoden für den Start eines CARMA-Servers. Alle Methoden haben Vor- und Nachteile. Außerdem stellt Developer for z Systems mehrere Repository Access Manager (RAM) bereit, die in zwei Gruppen eingeteilt werden können: Produktions-RAM und Muster-RAM. Es sind verschiedene Kombinationen von RAM und Serverstartmethoden als vorkonfigurierte Installation verfügbar.
Alle Serverstartmethoden nutzen eine gemeinsame Konfigurationsdatei (CRASRV.properties), die unter anderem angibt, welche Startmethode verwendet wird.
Die Methode "CRASTART" startet den CARMA-Server als Subtask innerhalb von RSE. Bei dieser sehr flexiblen Konfiguration wird eine gesonderte Konfigurationsdatei verwendet, die für den Start eines CARMA-Servers erforderliche Dateizuordnungen und Programmaufrufe definiert. Mit dieser Methode wird die beste Leistung erreicht. Sie nutzt am wenigsten Ressourcen, erfordert jedoch, dass sich das Modul CRASTART im LPA befindet.
RSE ruft das Lademodul CRASTART auf, das ausgehend von den Definitionen in crastart*.conf eine gültige Umgebung für die Ausführung von TSO- und ISPF-Batchbefehlen erstellt. Developer for z Systems kann in dieser Umgebung den CARMA-Server CRASERV ausführen. Developer for z Systems stellt mehrere Dateien crastart*.conf bereit, die jeweils für einen bestimmten RAM vorkonfiguriert sind.
Die Methode der Batchübergabe startet den CARMA-Server durch Übergabe eines Jobs. Dies ist die in den bereitgestellten Beispielkonfigurationsdateien verwendete Standardmethode. Sie hat den Vorteil, dass in der Jobausgabe ohne großen Aufwand auf die CARMA-Protokolle zugegriffen werden kann. Bei dieser Methode kann jeder Entwickler auch eigene Server-JCL verwenden, die er selbst verwaltet. Allerdings wird bei dieser Methode pro Entwickler, der einen CARMA-Server startet, ein JES-Initiator verwendet.
RSE ruft die CLIST CRASUB* auf, die wiederum eine eingebettete JCL übergibt, um eine gültige Umgebung für die Ausführung von TSO- und ISPF-Batchbefehlen zu erstellen. Developer for z Systems führt in dieser Umgebung den CARMA-Server (CRASERV) aus. Developer for z Systems stellt mehrere CRASUB*-Member bereit, die jeweils für einen bestimmten RAM vorkonfiguriert sind.
Abbildung 5 liefert einen Überblick über die von Developer for z Systems verwendeten z/OS UNIX-Verzeichnisse. Die folgende Liste enthält nicht nur Informationen zu jedem von Developer for z Systems verwendeten Verzeichnis, sondern gibt auch an, wie die Position geändert werden kann und wer die darin enthaltenen Daten verwaltet.
Developer for z
Systems erweitert
z/OS Explorer, indem zusätzliche
Funktionen bereitgestellt werden. Einige davon interagieren
mit anderen Systemkomponenten und Produkten, wie
Software Configuration Manager (SCM). Developer for z
Systems specific
security definitions are used to secure the provided functions.
Die von den Servern und Services von Developer for z Systems verwendeten Sicherheitsmechanismen sind nur wirksam, wenn die zugrunde liegenden Dateisysteme geschützt sind. Dies impliziert, dass die Programmbibliotheken und Konfigurationsdateien nur von vertrauenswürdigen Systemadministratoren aktualisiert werden können.
Developer for z
Systems baut auf
IBM Explorer for z/OS auf.
z/OS Explorer-spezifiche Informationen finden Sie in “Aspekte bei der
Sicherheit” (“Security
consideration”) im Handbuch IBM Explorer
for z/OS Host Configuration Reference (IBM Form SC27-8438).
Dieses Kapitel enthält die folgenden Abschnitte:
CARMA-Authentifizierung
Die Clientauthentifizierung wird vom RSE-Dämon als Teil der Verbindungsanforderung des Clients vorgenommen. CARMA wird von einem benutzerspezischen aus gestartet und übernimmt die Sicherheitsumgebung des Benutzers, wodurch die Notwendigkeit einer zusätzlichen Authentifizierung umgangen wird.
SCLM Developer Toolkit-Authentifizierung
Die Clientauthentifizierung wird vom RSE-Dämon als Teil der Verbindungsanforderung des Clients vorgenommen. SCLMDT wird von einem benutzerspezischen aus gestartet und übernimmt die Sicherheitsumgebung des Benutzers, wodurch die Notwendigkeit einer zusätzlichen Authentifizierung umgangen wird.
Die Clientauthentifizierung wird vom RSE-Dämon als Teil der Verbindungsanforderung des Clients vorgenommen. Sobald der Benutzer authentifiziert ist, werden selbsterstellte PassTickets für alle zukünftigen Authentifizierungsanforderungen verwendet, einschließlich des automatischen Anmeldens beim Debug Manager.
Debug Manager muss für die Überprüfung von PassTickets berechtigt sein, damit eine Überprüfung durch Debug Manager für die vom RSE übermittelten Benutzer-IDs und PassTickets möglich ist. Das Lademodul AQEZPCM, das sich standardmäßig in der Ladebibliothek FEL.SFEKAUTH befindet, muss deshalb für APF-autorisiert sein.
Wenn eine clientbasierte Debug-Engine eine Verbindung zu Debug Manager herstellt, muss sie ein gültiges Sicherheitstoken für die Authentifizierung vorlegen.
Die Hostkommunikation zwischen dem Developer for z Systems-Client und dem Host geht über RSE: daduch wird die Verbindungssicherheit verwendet, die in z/OS Explorer bereitgestellt wird.
TTLSRule RDz_Debug_Manager
{
LocalPortRange 5335
Direction Inbound
TTLSGroupActionRef grp_Production
TTLSEnvironmentActionRef RDz_Debug_Manager
}
TTLSEnvironmentAction RDz_Debug_Manager
{
HandshakeRole Server
TTLSKeyRingParms
{
Keyring dbgmgr.racf # Keyring must be owned by the Debug Manager
}
}
TTLSGroupAction grp_Production
{
TTLSEnabled On
Trace 2
}
Für die optionale Komponente Integrated Debugger ist es erforderlich, dass Benutzer über ausreichende Zugriffsberechtigungen für angegebene Sicherheitsprofile verfügen. Wenn der Benutzer nicht über die erforderliche Berechtigung verfügt, wird die Debugsitzung nicht gestartet.
Developer for z Systems überprüft den Zugriff auf die Profile, die in Tabelle 1 aufgeführt sind, um festzustellen, welche Debugberechtigungen erteilt wurden.
FACILITY-Profil | Erforderlicher Zugriff | Ergebnis |
---|---|---|
AQE.AUTHDEBUG.STDPGM | READ | Benutzer kann ein Debugging für Anwendungen mit Fehlerstatus durchführen |
AQE.AUTHDEBUG.AUTHPGM | READ | Benutzer kann ein Debugging für Anwendungen mit Fehlerstatus sowie für berechtigte Anwendungen durchführen |
RDEFINE FACILITY (AQE.AUTHDEBUG.STDPGM) -
UACC(NONE) DATA('RATIONAL DEVELOPER FOR Z SYSTEMS – DEBUG PROBLEM-STATE')
PERMIT AQE.AUTHDEBUG.STDPGM CLASS(FACILITY) -
ID(RDZDEBUG) ACCESS(READ)
SETROPTS RACLIST(FACILITY) REFRESH
Mit dem optionalen Integrated Debugger kann ein Debugging von CICS-Transaktionen durchgeführt werden. Ausführliche Informationen hierzu enthält der Abschnitt CICS-Transaktionsdebugging.
SCLM Developer Toolkit stellt optionale Sicherheitsfunktionen für die Builderstellung, die Umstufung und das Deployment bereit.
Wenn ein SCLM-Administrator die Sicherheit für eine Funktion aktiviert hat, wird SAF aufgerufen, um zu überprüfen, ob die geschützte Funktion mit der ID des Aufrufenden oder einer Ersatzbenutzer-ID ausgeführt werden darf.
Weitere Informationen zu den erforderlichen SCLM-Sicherheitsdefinitionen enthält der SCLM Developer Toolkit Administrator’s Guide (IBM Form SC23-9801).
Passen Sie den Beispieljob FELRACF an, der RACF-Beispielbefehle enthält, und übergeben Sie ihn, um die Basissicherheitsdefinitionen für Developer for z
Systems zu erstellen.
Passen Sie den Beispieljob AQERACF an, der RACF-Beispielbefehle enthält, und übergeben Sie ihn, um die Sicherheitsdefinitionen für Integrated Debugger zu erstellen.
FELRACF und AQERACF befinden sich in FEL.#CUST.JCL, sofern sie bei der Anpassung und Übergabe des Jobs FEL.SFELSAMP(FELSETUP) keine andere Position angegeben haben.
Weitere
Informationen finden Sie im Abschnitt "Anpassungskonfiguration" im Handbuch
Rational
Developer for z Systems Hostkonfiguration.
Weitere Informationen zu RACF-Befehlen finden Sie in der Veröffentlichung RACF Command Language Reference (IBM Form SA22–7687).
Beschreibung |
|
Wert |
---|---|---|
Übergeordnetes Qualifikationsmerkmal für das Developer for z Systems-Produkt |
|
|
Übergeordnetes Qualifikationsmerkmal für die Developer for z Systems-Anpassung |
|
|
Name der gestarteten Task für Integrated Debugger |
|
Achtung: Wenn "WHEN PROGRAM" aktiv ist, müssen einige Produkte (beispielsweise FTP) programmgesteuert sein. Testen Sie diese Programmsteuerung, bevor Sie sie auf einem Produktionssystem aktivieren. |
Für jeden Benutzer von Developer for z Systems muss ein RACF-OMVS-Segment oder ein funktional entsprechendes Element definiert werden, das eine gültige z/OS UNIX-Benutzer-ID (UID, ungleich null) angibt. Darüber hinaus müssen für jeden Benutzer ein Ausgangsverzeichnis und ein Shellbefehl definiert werden. Für die Standardgruppe jedes Benutzers ist ebenfalls ein OMVS-Segment mit einer Gruppen-ID erforderlich.
Bei Verwendung der optionalen Komponente 'Integrated Debugger' ist für die Benutzer-ID zu der Anwendung, bei der Fehler behoben werden soll, sowie die zugehörige Standardgruppe ebenfalls ein gültiges RACF OMVS-Segment oder ein Äquivalent erforderlich.
Ersetzen Sie in den folgenden RACF-Beispielbefehlen die Platzhalter #userid, #user-identifier, #group-name und #group-identifier durch tatsächliche Werte:
ALTUSER #userid
OMVS(UID(#user-identifier) HOME(/u/#userid) PROGRAM(/bin/sh) NOASSIZEMAX)
Die folgenden RACF-Beispielbefehle erstellen die gestartete DBGMGR-Task mit der zugeordneten geschützten Benutzer-ID (STCDBM) und der Gruppe STCGROUP.
ADDGROUP STCGROUP OMVS(AUTOGID)
DATA('GROUP WITH OMVS SEGMENT FOR STARTED TASKS')
ADDUSER STCDBM DFLTGRP(STCGROUP) NOPASSWORD NAME('DEBUG MANAGER')
OMVS(AUTOUID HOME(/tmp) PROGRAM(/bin/sh) )
DATA('Rational Developer for z Systems')
RDEFINE STARTED DBGMGR.* DATA('DEBUG MANAGER')
STDATA(USER(STCDBM) GROUP(STCGROUP) TRUSTED(NO))
Integrated Debugger benötigt die Zugriffsberechtigung UPDATE für das Profil BPX.SERVER,
um die Sicherheitsumgebung für den Debug-Thread erstellen oder löschen zu können.
Beachten Sie, dass die Verwendung von
UID(0) zum Umgehen dieser Anforderung nicht unterstützt wird. Diese Berechtigung ist
nur bei Verwendung der optionalen Funktion 'Integrated Debugger' erforderlich.
Achtung: Mit dem Definieren des Profils BPX.SERVER wechselt z/OS UNIX vollständig von der Sicherheit auf UNIX-Ebene zur Sicherheit auf z/OS UNIX-Ebene, die bedeutend sicherer ist. Möglicherweise hat dieser Wechsel Auswirkungen auf andere z/OS
UNIX-Anwendungen und -Operationen. Testen Sie die Sicherheit, bevor Sie sie auf einem Produktionssystem aktivieren. Weitere Informationen zu den verschiedenen Sicherheitsstufen finden Sie in der Veröffentlichung UNIX System Services Planning (IBM Form GA22-7800).
|
Server mit der Berechtigung für BPX.SERVER müssen in einer sauberen, programmgesteuerten Umgebung ausgeführt werden. Diese Voraussetzung impliziert, dass alle von Debug Manager aufgerufenen Programme ebenfalls programmgesteuert sein müssen.
Die Programmsteuerung von MVS-Ladebibliotheken wird von Ihrer Sicherheitssoftware verwaltet.
Zur Unterstützung optionaler Services müssen die folgenden zusätzlich vorausgesetzten Bibliotheken programmgesteuert
sein.
Diese
Liste enthält keine Dateien, die für ein Produkt spezifisch sind, mit dem
Developer for z
Systems interagiert,
beispielsweise IBM Explorer for z/OS.
Das Kennwort des Clients bzw. ein anderes Identifikationsmechanismus, wie ein X.509-Zertifikat, wird nur verwendet, um die Identität beim Herstellen der Verbindung zu überprüfen. Anschließend wird die Threadsicherheit mit PassTickets verwaltet. Dieser Schritt ist erforderlich, damit Clients die Verbindung herstellen können.
RDEFINE PTKTDATA FEKAPPL UACC(NONE) SSIGNON(KEYMASKED(key16))
APPLDATA('NO REPLAY PROTECTION – DO NOT CHANGE')
DATA('RATIONAL DEVELOPER FOR Z SYSTEMS')
RDEFINE PTKTDATA IRRPTAUTH.FEKAPPL.* UACC(NONE)
DATA('RATIONAL DEVELOPER FOR Z SYSTEMS')
PERMIT IRRPTAUTH.FEKAPPL.* CLASS(PTKTDATA) ACCESS(UPDATE) ID(STCRSE)
SETROPTS RACLIST(PTKTDATA) REFRESH
RSE unterstützt die Verwendung von anderen Anwendungs-IDs als FEKAPPL. Entfernen Sie in rdz.env die Kommentarzeichen vor der Option 'APPLID=FEKAPPL' und passen Sie die Option an, um sie zu aktivieren. Lesen Sie hierzu die Informationen im Abschnitt 'Zusätzliche Java-Startparameter mit _RSE_JAVAOPTS definieren' im Handbuch IBM Rational Developer for z Systems Hostkonfiguration. Die Definitionen der Klasse PTKTDATA müssen mit der eigentlichen, von RSE verwendeten Anwendungs-ID übereinstimmen.
Achtung: Die Clientverbindungsanforderung schlägt fehl, wenn PassTickets nicht richtig konfiguriert sind.
|
Der Operatorbefehl MODIFY LOGS verwendet die Benutzer-ID der gestarteten RSED-Task, um Hostprotokolle und Konfigurationsdaten zu erfassen. Und standardmäßig werden Benutzerprotokolldateien mit Berechtigungen für einen sicheren Dateizugriff (nur der Eigner hat Zugriff) erstellt. Damit sichere Benutzerprotokolldateien erfasst werden können, muss die Benutzer-ID der gestarteten RSED-Task über eine Leseberechtigung verfügen.
Das Argument OWNER des Operatorbefehls MODIFY LOGS führt dazu, das die angegebene Benutzer-ID zum Eigner der erfassten Daten wird. Um das Eigentumsrecht zu ändern, muss die Benutzer-ID der gestarteten RSED-Task über die Berechtigung verfügen, den z/OS UNIX-Dienst CHOWN zu verwenden.
Beachten Sie, dass wenn das Profil SUPERUSER.FILESYS.ACLOVERRIDE definiert ist, die in der Zugriffskontrollliste (ACL - Access Control List) definierten Zugriffsberechtigungen Vorrang vor den durch SUPERUSER.FILESYS genehmigten Berechtigungen haben. Die Benutzer-ID der gestarteten RSED-Task benötigt eine READ-Zugriffsberechtigung auf das Profil SUPERUSER.FILESYS.ACLOVERRIDE, um ACL-Definitionen zu umgehen.
Während der Clientanmeldung prüft der RSE-Dämon, ob ein Benutzer die Anwendung verwenden darf.
RDEFINE APPL FEKAPPL UACC(READ) DATA('RATIONAL DEVELOPER FOR Z SYSTEMS')
SETROPTS RACLIST(APPL) REFRESH
Server mit der Berechtigung für BPX.SERVER müssen in einer sauberen, programmgesteuerten Umgebung ausgeführt werden. Diese Voraussetzung impliziert, dass alle von RSE aufgerufenen Programme ebenfalls programmgesteuert sein müssen. Die Programmsteuerung für z/OS UNIX-Dateien wird mit dem Befehl extattr verwaltet. Für die Ausführung dieses Befehls benötigen Sie die Zugriffsberechtigung READ für BPX.FILEATTR.PROGCTL in der Klasse FACILITY oder die UID(0).
$ ls -Eog /usr/lib/libIRRRacf*.so
-rwxr-xr-x aps- 2 69632 Oct 5 2007 /usr/lib/libIRRRacf.so
-rwxr-xr-x aps- 2 69632 Oct 5 2007 /usr/lib/libIRRRacf64.so
JES Job Monitor setzt alle von einem Benutzer angeforderten JES-Bedienerbefehle über eine erweiterte MCS-Konsole (EMCS) ab, deren Name durch die Anweisung CONSOLE_NAME gesteuert wird, wie im Abschnitt "FEJJCNFG - Konfigurationsdatei für JES Job Monitor" im Handbuch Rational Developer for z Systems Hostkonfiguration dokumentiert.
RDEFINE OPERCMDS MVS.MCSOPER.#console UACC(READ)
DATA('RATIONAL DEVELOPER FOR Z SYSTEMS')
RDEFINE OPERCMDS JES%.** UACC(NONE)
PERMIT JES%.** CLASS(OPERCMDS) ACCESS(UPDATE) WHEN(CONSOLE(JMON)) ID(*)
SETROPTS RACLIST(OPERCMDS) REFRESH
Achtung: Wenn Sie in Ihrer Sicherheitssoftware die JES-Befehle mit dem universellen Zugriffsrecht NONE definieren, kann sich das negativ auf andere Anwendungen und Operationen auswirken. Testen Sie die Sicherheit, bevor Sie sie auf einem Produktionssystem aktivieren.
|
In Tabelle 3 und Tabelle 4 sehen Sie die Bedienerbefehle, die für JES2 und JES3 abgesetzt werden, sowie die eigenständigen Sicherheitsprofile zu deren Schutz.
Aktion | Befehl | OPERCMDS-Profil | Erforderlicher Zugriff |
---|---|---|---|
Hold | $Hx(jobid) x = {J, S oder T} |
|
UPDATE |
Release | $Ax(jobid) x = {J, S oder T} |
|
UPDATE |
Cancel | $Cx(jobid) x = {J, S oder T} |
|
UPDATE |
Purge | $Cx(jobid),P x = {J, S oder T} |
|
UPDATE |
Aktion | Befehl | OPERCMDS-Profil | Erforderlicher Zugriff |
---|---|---|---|
Hold | *F,J=jobid,H |
|
UPDATE |
Release | *F,J=jobid,R |
|
UPDATE |
Cancel | *F,J=jobid,C |
|
UPDATE |
Purge | *F,J=jobid,C |
|
UPDATE |
Ihre Sicherheitssoftware verhindert, dass ein Benutzer in einer TSO-Sitzung eine Konsole JMON erstellt, weil er sich so als JES Job Monitor Server ausgeben könnte. Auch wenn die Konsole erstellt werden kann, unterscheidet sich der Eingangspunkt (z. B. JES Job Monitor oder TSO). Von dieser Konsole abgesetzte JES-Befehle werden jedoch nicht die Sicherheitsprüfung bestehen, wenn Ihre Sicherheitssoftware wie in dieser Veröffentlichung beschrieben konfiguriert ist und der Benutzer nicht autorisiert ist, JES-Befehle über andere Mechanismen zu verwenden.
Benutzer müssen über einen Lesezugriff auf eines der aufgelisteten AQE.AUTHDEBUG.*-Profile verfügen, um Integrated Debugger für die Fehlerbehebung bei Programmen mit Problemstatus einsetzen zu können. Benutzer mit einer Berechtigung für das Profil AQE.AUTHDEBUG.AUTHPGM sind auch zur Fehlerbehebung bei Programmen mit APF-Berechtigung autorisiert. Ersetzen Sie den Platzhalter #apf durch gültige Benutzer-IDs oder RACF-Gruppennamen für die Benutzer, die die Fehlerbehebung bei berechtigten Programmen durchführen dürfen.
RDEFINE FACILITY AQE.AUTHDEBUG.STDPGM UACC(NONE)
PERMIT AQE.AUTHDEBUG.STDPGM CLASS(FACILITY) ACCESS(READ) ID(*)
RDEFINE FACILITY AQE.AUTHDEBUG.AUTHPGM UACC(NONE)
PERMIT AQE.AUTHDEBUG.AUTHPGM CLASS(FACILITY) ACCESS(READ) ID(#apf)
SETROPTS RACLIST(FACILITY) REFRESH
Für die meisten Dateien (Datasets) von Developer for z Systems reicht das Zugriffsrecht READ für Benutzer und ALTER für Systemprogrammierer aus. Ersetzen Sie den Platzhalter #sysprog durch gültige Benutzer-IDs oder RACF-Gruppennamen. Fragen Sie außerdem den Systemprogrammierer, der das Produkt installiert und konfiguriert hat, nach den korrekten Dateinamen. Das bei der Installation verwendete übergeordnete Standardqualifikationsmerkmal ist FEK. Das übergeordnete Standardqualifikationsmerkmal für Dateien, die während des Anpassungsprozesses erstellt werden, ist FEL.#CUST.
ADDGROUP (FEL) OWNER(IBMUSER) SUPGROUP(SYS1)
DATA('IBM Rational Developer for z Systems - HLQ STUB')
ADDSD 'FEL.*.**' UACC(READ)
DATA('IBM Rational Developer for z Systems')
PERMIT 'FEL.*.**' CLASS(DATASET) ACCESS(ALTER) ID(#sysprog)
SETROPTS GENERIC(DATASET) REFRESH
ADDSD 'FEL.#CUST.LSTRANS.*.**' UACC(UPDATE)
DATA('IBM Rational Developer for z Systems - SCLMDT')
PERMIT 'FEL.#CUST.LSTRANS.*.**' CLASS(DATASET) ACCESS(ALTER) ID(#sysprog)
SETROPTS GENERIC(DATASET) REFRESH
ADDSD 'FEL.#CUST.CRA*.**' UACC(READ)
DATA('IBM Rational Developer for z Systems - CARMA')
PERMIT 'FEL.#CUST.CRA*.**' CLASS(DATASET) ACCESS(ALTER) ID(#sysprog)
PERMIT 'FEL.#CUST.CRA*.**' CLASS(DATASET) ACCESS(UPDATE) ID(#ram-developer)
SETROPTS GENERIC(DATASET) REFRESH
Verwenden Sie die folgenden Beispielbefehle, um die Ergebnisse Ihrer Anpassungen in Bezug auf die Sicherheit anzuzeigen.
Developer for z Systems verwendet TCP/IP, um Benutzern einer Workstation den Zugriff auf Mainframe-Computer bereitzustellen, wenn diese selbst kein Mainframe-Computer ist. TCP/IP wird außerdem für die Datenübertragung zwischen verschiedenen Komponenten und anderen Produkten verwendet.
Developer for z
Systems baut auf
IBM Explorer for z/OS auf.
z/OS Explorer-spezifiche Informationen finden Sie in “TCP/IP
considerations” im Handbuch IBM Explorer
for z/OS Host Configuration Reference (IBM Form SC27-8438).
Abbildung 7 stellt die TCP/IP-Ports dar, die mit
z/OS Explorer
und Developer for z
Systems
verwendet werden können.
Die Pfeilspitzen deuten an, welcher Teilnehmer für die Bindung (Pfeilspitzenseite) verantwortlich ist und welcher die Verbindung herstellt.
Wenn Sie die Anweisung PORT oder PORTRANGE in PROFILE.TCPIP verwenden, um
die Portbs zu reservieren, die von
z/OS Explorer un Developer for z
Systems
verwendet werden; beachten Sie, dass viele Binds von Threads gemacht werden, die in einem RSE-Thread-Pool aktiv ist.
Der Jobname des RSE-Thread-Pools lautet RSEDx, wobei RSED der Name der gestarteten RSE-Task und x eine zufällige Ziffer ist. Daher sind in der Definition Platzhalter erforderlich.
PORT 4035 TCP RSED ; z/OS Explorer – RSE daemon
PORT 6715 TCP JMON ; z/OS Explorer – JES job monitor
PORT 5335 TCP DBGMGR ; Developer for z Systems – Integrated debugger
PORT 5336 TCP DBGMGR ; Developer for x Systems – Integrated debugger
PORTRange 8108 11 TCP RSED* ; z/OS Explorer – RSE_PORTRANGE
;PORTRange 5227 100 TCP RSED* ; Developer for z Systems - CARMA
CARMA (Common Access Repository Manager) wird für den Zugriff auf einen hostbasierten Software Configuration Manager (SCM) verwendet, beispielsweise CA Endevor® SCM. In den meisten Fällen, beispielsweise bei einem RSE-Dämon, bindet ein Server an einen Port und wartet auf Verbindungsanforderungen. CARMA verwendet eine andere Methode, da der CARMA-Server während des Initialisierens der Verbindungsanforderung durch den Client noch nicht aktiv ist.
Wenn der Client eine Verbindungsanforderung sendet, forder der CARMA-Miner, der als Benutzerthread in einem RSE-Thread-Pool aktiv ist, einen ephemeren Port an oder sucht in dem Bereich, der in der Konfigurationsdatei CRASRV.properties angegeben ist, nach einem freien Port und bindet an diesen Port. Der Miner startet anschließend den CARMA-Server und übergibt die Portnummer, sodass der Server eine Verbindung zu dem entsprechenden Port herstellen kann. Wenn der Server mit dem Port verbunden ist, kann der Client Anforderungen an den Server senden und Ergebnisse empfangen.
Aus Sicht des TCP/IP ist also RSE (über den CARMA-Miner) der Server, der an einen Port bindet, und der CARMA-Server der Client, der eine Verbindung mit dem Server herstellt.
Wenn Sie die Anweisung PORT oder PORTRANGE in PROFILE.TCPIP verwenden, um den Portbereich zu reservieren, der von CARMA verwendet wird, beachten Sie, dass der CARMA-Miner in einem RSE-Thread-Pool aktiv ist. Der Jobname des RSE-Thread-Pools lautet RSEDx, wobei RSED der Name der gestarteten RSE-Task und x eine zufällige Ziffer ist. Daher sind in der Definition Platzhalter erforderlich.
PORTRange 5227 100 RSED* ; DEVELOPER FOR Z SYSTEMS - CARMA
CARMA (Common Access Repository Manager) wird für den Zugriff auf einen hostbasierten Software Configuration Manager (SCM) verwendet, beispielsweise CA Endevor® SCM. Dazu startet CARMA einen benutzerspezifischen Server, der eine zusätzliche Konfiguration erfordert, um Stackaffinität umzusetzen.
Ähnlich den gestarteten z/OS Explorer- und
Developer for z
Systems-Tasks
wird Stackaffinität für einen CARMA-Server mit der Variable _BPXK_SETIBMOPT_TRANSPORT festgelegt, die an LE (Language Environment) weitergegeben werden muss. Dies erfolgt durch Anpassung des Startbefehls in der aktiven Konfigurationsdatei crastart*.conf oder CRASUB*.
... PARM(&CRAPRM1. &CRAPRM2.)
... PARM(ENVAR("_BPXK_SETIBMOPT_TRANSPORT=TCPIP") / &CRAPRM1. &CRAPRM2.)
... PARM(&PORT &TIMEOUT)
... PARM(ENVAR("_BPXK_SETIBMOPT_TRANSPORT=TCPIP") / &PORT &TIMEOUT)
Im Gegensatz zu herkömmlichen z/OS-Anwendungen ist Rational Developer for z Systems keine einzelne Anwendung, die von Workload Manager (WLM) auf einfache Weise erkannt wird. Developer for z Systems umfasst mehrere interagierende Komponenten, damit der Client auf die Host-Services und -daten zugreifen kann. Wie in Wissenswertes zu Developer for z Systems beschrieben, sind einige dieser Services in verschiedenen Adressräumen aktiv und werden somit verschiedenen WLM-Klassifikationen zugeordnet.
Developer for z
Systems baut auf
IBM Explorer for z/OS auf.
z/OS Explorer-spezifiche Informationen finden Sie in “WLM
considerations” im Handbuch IBM Explorer
for z/OS Host Configuration Reference (IBM Form SC27-8438).
Abbildung 8
zeigt eine Basisübersicht über die Subsysteme, über die die Informationen zu
den Verarbeitungsprozessen von z/OS Explorer und Developer for z
Systems
an WLM weitergegeben werden.
Der RSE-Dämon (RSED), Debug Manager (DBGMGR) und JES Job Monitor (JMON) sind gestartete Tasks in
z/OS Explorer
and Developer for z
Systems
(oder lang laufende Batch-Jobs) mit individuellen Adressräumen.
Der RSE-Dämon startet für jeden RSE-Thread-Pool-Server (der eine
variable Anzahl von Clients unterstützt) einen untergeordneten Prozess. Jeder Thread-Pool ist (mithilfe eines z/OS UNIX-Initiators, BPXAS) in einem separaten Adressraum aktiv. Da es sich hierbei um gestartete Prozesse handelt, werden diese nach den WLM-OMVS-Klassifikationsregeln und nicht nach den Klassifikationsregeln für gestartete Tasks klassifiziert.
Abhängig von den Aktionen der Benutzer können die Clients, die in einem Thread-Pool aktiv sind, eine Vielzahl anderer Adressräume erstellen. Abhängig von der Konfiguration von Developer for z Systems, können einige Verarbeitungsprozesse, wie TSO Commands Service (TSO cmd) oder CARMA, in anderen Subsystemen ausgeführt werden.
Die in Abbildung 8 aufgeführten Adressräume bleiben für einen längeren Zeitraum im System sichtbar. Sie sollten allerdings beachten, dass z/OS UNIX so entwickelt wurde, dass es auch einige kurz andauernde, temporäre Adressräume gibt. Diese temporären Adressräume sind im OMVS-Subsystem aktiv.
Während die RSE-Thread-Pools dieselbe Benutzer-ID und einen ähnlichen Jobnamen wie der RSE-Dämon verwenden, gehören alle von einem Thread-Pool gestarteten Adressräume der Client-Benutzer-ID, die die Aktion anfordert. Die Client-Benutzer-ID wird außerdem als Teil des Jobnamens für alle vom Thread-Pool gestarteten OMVS-basierten Adressräume verwendet.
Weitere Adressräume werden von anderen Services erstellt, die
Developer for z
Systems verwendet,
zum Beispiel z/OS UNIX-REXEC (USS-Build).
WLM verwendet Klassifikationsregeln, um im System eingehende Arbeit einer Serviceklasse zuzuordnen. Diese Klassifikation basiert auf Qualifikationsmerkmalen für Arbeit. Das erste (verbindliche) Merkmal ist der Subsystemtyp, der die Verarbeitungsanforderung empfängt. In Tabelle 5 werden die Subsystemtypen aufgeführt, die Verarbeitungsanforderungen von Developer for z Systems empfangen können.
Subsystemtyp | Beschreibung der Arbeit |
---|---|
ASCH | Die Verarbeitungsanforderungen umfassen alle APPC-Transaktionsprogramme, die von dem von IBM gelieferten APPC/MVS-Transaktionsscheduler (ASCH) geplant werden. |
JES | Die Verarbeitungsanforderungen umfassen alle Jobs, die von JES2 oder JES3 initialisiert werden. |
OMVS | Die Verarbeitungsanforderungen umfassen Arbeit, die in verzweigten untergeordneten Adressräumen von z/OS UNIX System Services verarbeitet wird. |
STC | Die Verarbeitungsanforderungen umfassen Arbeit, die von den Befehlen 'START' und 'MOUNT' initialisiert wird. STC umfasst außerdem Adressräume der Systemkomponente. |
Tabelle 6 listet zusätzliche Merkmale auf, die für die Zuordnung von Verarbeitungsprozessen zu einer bestimmten Serviceklasse verwendet werden können. Weitere Details zu den aufgelisteten Merkmalen enthält MVS Planning: Workload Management (IBM Form SA22-7602).
ASCH | JES | OMVS | STC | ||
---|---|---|---|---|---|
AI | Accountinformationen | ||||
LU | LU-Name (*) | ||||
PF | Ausführung (*) | ||||
PRI | Priorität | ||||
SE | Name der Terminierungsumgebung | ||||
SSC | Objektgruppenname des Subsystems | ||||
SI | Subsysteminstanz (*) | ||||
SPM | Subsystemparameter | ||||
PX | Sysplex-Name | ||||
SY | Systemname (*) | ||||
TC | Transaktions-/Jobklasse (*) | ||||
TN | Transaktions-/Jobname (*) | ||||
UI | Benutzer-ID (*) |
Wie unter Klassifikation für Verarbeitungsprozesse dokumentiert, erstellt Developer for z Systems unterschiedliche Typen von Verarbeitungsprozessen auf Ihrem System. Diese verschiedenen Tasks kommunizieren miteinander. Dafür ist die eigentliche Antwortzeit wichtig, um Zeitüberschreitungsprobleme bezüglich der Verbindungen zwischen den Tasks zu vermeiden. Deshalb sollten Tasks in Developer for z Systems in leistungsfähige Serviceklassen oder in Serviceklassen mit mittlerer Leistung mit hoher Priorität eingeordnet werden.
Es wird daher eine Überarbeitung und gegebenenfalls eine Aktualisierung Ihrer aktuellen WLM-Ziele empfohlen. Dies gilt insbesondere für herkömmliche MVS-Unternehmen, für die zeitkritische OMVS-Verarbeitungsprozesse neu sind.
In Tabelle 7 werden die Adressräume aufgelistet, die von z/OS Explorer und Developer for z Systems. verwendet werden. z/OS UNIX ersetzt den Wert "x" in der Spalte "Taskname" durch eine zufällige einstellige Zahl.
Beschreibung | Taskname | Verarbeitungsprozess |
---|---|---|
Debug Manager | DBGMGR | STC |
(z/OS Explorer) JES Job Monitor | JMON | STC |
(z/OS Explorer) RSE-Dämon | RSED | STC |
(z/OS Explorer) RSE-Thread-Pool | RSEDx | OMVS |
![]() ![]() |
![]() ![]() |
![]() ![]() |
![]() ![]() |
<Benutzer-ID>x | OMVS |
(z/OS Explorer) TSO Commands Service (APPC) | FEKFRSRV | ASCH |
CARMA (batch) | CRA<Port> | JES |
CARMA (crastart) | <Benutzer-ID>x | OMVS |
CARMA (ISPF-Client-Gateway) | <Benutzer-ID> und <Benutzer-ID>x | OMVS |
MVS-Build (Batch-Job) | * | JES |
z/OS UNIX-Build (Shellbefehle) | <Benutzer-ID>x | OMVS |
z/OS UNIX-Shell | <Benutzer-ID> | OMVS |
Alle von Developer for z
Systems gestarteten
Tasks bedinenen Echtzeitclientanforderungen.
Beschreibung | Taskname | Verarbeitungsprozess |
---|---|---|
Debug Manager | DBGMGR | STC |
Debug Manager bietet Services zur Herstellung einer Verbindung von Programmen, deren Debug ausgeführt wird, mit den Clients, die das Debugging ausführen. Sie sollten ein leistungsfähiges Geschwindigkeitsziel für einen Zeitraum angeben, da die Task WLM keine einzelnen Transaktionen zurückmeldet. Die Ressourcennutzung hängt im großen Maße von den Benutzeraktionen ab und kann deshalb schwanken. Es ist jedoch zu erwarten, dass sie minimal ist.
Alle Verarbeitungsprozess verwenden
die Client-Benutzer-ID als Grundlage für den Adressraumnamen.
(z/OS UNIX ersetzt den Wert "x" in der Spalte "Taskname" durch eine zufällige einstellige Zahl.)
Die Verarbeitungsprozesse werden alle aufgrund einer allgemeinen Namenskonvention für Adressräume derselben Serviceklasse zugeordnet. Für diese Serviceklasse sollten Sie ein Ziel für mehrere Zeiträume angeben. Für die ersten Zeiträume sollten Sie leistungsfähige Perzentilantwortzeitziele und für den letzten Zeitraum ein Geschwindigkeitsziel mit mittlerer Leistung angeben. Einige Verarbeitungsprozesse, wie das ISPF-Client-Gateway, melden WLM einzelne Transaktionen zurück.
Beschreibung | Taskname | Verarbeitungsprozess |
---|---|---|
![]() ![]() |
<Benutzer-ID>x | OMVS |
CARMA (crastart) | <Benutzer-ID>x | OMVS |
CARMA (ISPF-Client-Gateway) | <Benutzer-ID> und <Benutzer-ID>x | OMVS |
z/OS UNIX-Build (Shellbefehle) | <Benutzer-ID>x | OMVS |
z/OS UNIX-Shell | <Benutzer-ID> | OMVS |
Das Legacy ISPF Gateway ist ein
ISPF-Service, der von Developer for z
Systems
aufgerufen wird, um nicht interaktive TSO- und ISPF-Befehle auszuführen. Dazu gehören sowohl vom
Client ausgegebene, explizite Befehle als auch von der Komponente
SCLMDT von Developer for z
Systems ausgegebene,
implizite Befehle.
Die Ressourcennutzung hängt im großen Maße von den Benutzeraktionen ab und kann deshalb schwanken. Es ist jedoch zu erwarten, dass sie minimal ist.
CARMA ist ein optionaler Developer for z Systems-Server, der zur Interaktion mit hostbasierten SCMs (Software Configuration Managers), wie CA Endevor® SCM, verwendet wird. Developer for z Systems lässt verschiedene Startmethoden für einen CARMA-Server zu. Einige davon werden als OMVS-Verarbeitungsprozess gehandhabt. Die Ressourcennutzung hängt im großen Maße von den Benutzeraktionen ab und kann deshalb schwanken. Es ist jedoch zu erwarten, dass sie minimal ist.
Wenn ein Client einen Build für ein z/OS UNIX-Projekt initialisiert, startet die z/OS UNIX-REXEC (oder SSH) eine Task, die zur Ausführung des Builds eine Reihe von z/OS UNIX-Shellbefehlen ausführt. Die Ressourcennutzung hängt im großen Maße von den Benutzeraktionen ab und kann deshalb schwanken. Es ist jedoch zu erwarten, dass sie mäßig bis erheblich ist (abhängig von der Größe des Projekts).
Bei dieser Workload werden vom Client ausgegebene z/OS UNIX-Shellbefehle verarbeitet. Die Ressourcennutzung hängt im großen Maße von den Benutzeraktionen ab und kann deshalb schwanken. Es ist jedoch zu erwarten, dass sie minimal ist.
JES-verwaltete Batchprozesse werden von Developer for z Systems auf verschiedene Weisen verwendet. Die bekannteste Nutzung ist für MVS-Builds, für die ein Job übergeben und überwacht wird, um sein Ende zu bestimmen. Developer for z Systems kann jedoch auch einen CARMA-Server mit Batchübergabe starten und mit ihm über TCP/IP kommunizieren.
Beschreibung | Taskname | Verarbeitungsprozess |
---|---|---|
CARMA (batch) | CRA<Port> | JES |
MVS-Build (Batch-Job) | * | JES |
CARMA ist ein Developer for z Systems-Server, der zur Interaktion mit hostbasierten SCMs (Software Configuration Managers), wie CA Endevor® SCM, verwendet wird. Developer for z Systems lässt verschiedene Startmethoden für einen CARMA-Server zu. Einige davon werden als JES-Verarbeitungsprozess gehandhabt. Sie sollten ein leistungsfähiges Geschwindigkeitsziel für einen Zeitraum angeben, da die Task WLM keine einzelnen Transaktionen zurückmeldet. Die Ressourcennutzung hängt im großen Maße von den Benutzeraktionen ab und kann deshalb schwanken. Es ist jedoch zu erwarten, dass sie minimal ist.
Developer for z
Systems baut auf
IBM Explorer for z/OS auf.
z/OS Explorer-spezifiche Informationen finden Sie in “Push-to-client
considerations” im Handbuch IBM Explorer
for z/OS Host Configuration Reference (IBM Form SC27-8438).
Clients von Developer for z
Systems
können beim Verbindungsaufbau Clientkonfigurationsdateien und Informationen zu Produktaktualisierungen vom Host abrufen.
Dadurch wird sichergestellt, dass alle Clients über die gleichen Einstellungen verfügen und auf dem neuesten Stand sind.
Der Clientadministrator kann mehrere Clientkonfigurationssätze und Clientaktualisierungsszenarios für die
Anforderungen verschiedener Entwicklergruppen erstellen. Dadurch erhalten Benutzer eine angepasste Konfiguration, die auf Kriterien wie LDAP-Gruppenzugehörigkeit oder Zulassung zu einem Sicherheitsprofil basiert.
z/OS-Projekte können einzeln auf dem Client in der Perspektive für z/OS-Projekte erstellt werden. Sie können aber auch zentral auf dem Host erstellt werden, in welchem Fall sie auf Benutzerbasis auf den Client repliziert werden. Solche hostbasierten Projekte sind hinsichtlich Aussehen und Funktionsweise mit auf dem Client definierten Projekten identisch. Die Struktur, die Member und die Eigenschaften dieser Projekte können jedoch nicht vom Client geändert werden und sind nur bei bestehender Verbindung mit dem Host verfügbar.
Manager für Entwicklungsprojekte definieren ein Projekt und weisen ihm Entwickler zu.
Details zur Durchführung der zugewiesenen Aufgaben durch den Manager für Entwicklungsprojekte finden Sie im Developer for z Systems IBM Knowledge Center.
z/OS-Projekte können einzeln auf dem Client in der Perspektive für z/OS-Projekte erstellt werden. Sie können aber auch zentral auf dem Host erstellt werden, in welchem Fall sie auf Benutzerbasis auf den Client repliziert werden. Solche hostbasierten Projekte sind hinsichtlich Aussehen und Funktionsweise mit auf dem Client definierten Projekten identisch. Die Struktur, die Member und die Eigenschaften dieser Projekte können jedoch nicht vom Client geändert werden und sind nur bei bestehender Verbindung mit dem Host verfügbar.
Das Basisverzeichnis für hostbasierte Projekte wird vom Clientadministrator in /var/rdz/pushtoclient/keymapping.xml definiert. Standardmäßig lautet es /var/rdz/pushtoclient/projects.
Hostbasierte Projekte können auch in die
Konfiguration für mehrere Gruppen integriert werden. Dies bedeutet, dass hostbasierte Projekte auch in /var/rdz/pushtoclient/grouping/<devgroup>/projects/ definiert werden können.
Wenn ein Arbeitsbereich an eine bestimmte Gruppe gebunden ist und für einen Benutzer dieser Gruppe und in der Standardgruppe Projektdefinitionen vorliegen, erhält der Benutzer die Projektdefinitionen sowohl aus der Standardgruppe als auch aus der spezifischen Gruppe.
In diesem Kapitel werden Referenzen auf Komponenten von
Developer for z
Systems, die
in CICSTS-Regionen ausgeführt werden können, in einer Gruppe zusammengefasst.
Weitere Informationen zur Unterstützung bidirektionaler Sprachen finden Sie im Abschnitt "Unterstützung bidirektionaler Sprachen für CICS" im Kapitel "Weitere Anpassungstasks" des Handbuchs Rational Developer for z Systems Hostkonfiguration (SC43-2896).
Weitere Informationen zu IRZ-Diagnosenachrichten für Enterprise Service Tools finden Sie im Abschnitt "IRZ-Diagnosenachrichten für Enterprise Service Tools" im Kapitel "Weitere Anpassungstasks" im Handbuch Rational Developer for z Systems Hostkonfiguration (SC43-2896).
Weitere Informationen zum CICS-Transaktionsdebugging finden Sie im Abschnitt
"CICS-Aktualisierungen für Integrated Debugger" im Kapitel "Integrated
Debugger (optional)" des Handbuchs IBM
Rational Developer for z Systems
Hostkonfiguration (SC12-4062).
Dieser Abschnitt ist zur Unterstützung bei einigen allgemeinen Problemen vorgesehen, die beim Konfigurieren von Application Transparent Transport Layer Security (AT-TLS) oder beim Überprüfen oder Ändern einer bestehenden Konfiguration auftreten können.
Das TLS-Protokoll (Transport Layer Security), das in RFC 2246 definiert wird, bietet Datenschutz für die Kommunikation im Internet. Ähnlich wie sein Vorgänger Secure Socket Layer (SSL) ermöglicht es dieses Protokoll Client- und Serveranwendungen, auf eine Art und Weise zu kommunizieren, die das Ausspionieren, die Manipulation und das Fälschen von Nachrichten verhindert. Application Transparent Transport Layer Security (AT-TLS) konsolidiert die TLS-Implementierung für z/OS-basierte Anwendungen an einer einzigen Position, sodass alle Anwendungen die TLS-basierte Verschlüsselung unterstützen können, ohne das TLS-Protokoll zu kennen. Weitere Informationen zu AT-TLS enthält das Dokument Communications Server IP Configuration Guide (IBM Form SC31-8775).
Integrated Debugger in Developer for z Systems benötigt AT-TLS für die verschlüsselte Kommunikation mit dem Client, da die Daten für die Debugsitzung nicht durch dieselbe Pipe geleitet werden wie die übrige Client-Host-Kommunikation in Developer for z Systems.
Welche Aktionen für die Konfiguration von AT-TLS erforderlich sind, hängt von den genauen Anforderungen am jeweiligen Standort und von den am Standort verfügbaren Ressourcen ab.
Für einige der in den folgenden Abschnitten beschriebenen Tasks wird vorausgesetzt, dass Sie aktivierter z/OS UNIX-Benutzer sind. Zum Aktivieren können Sie den TSO-Befehl OMVS absetzen. Verwenden Sie den Befehl oedit, um Dateien unter z/OS UNIX zu bearbeiten. Mit dem Befehl exit können Sie zu TSO zurückkehren.
In der TCP/IP-Dokumentation wird empfohlen, Policy Agent-Nachrichten in syslog unter z/OS UNIX zu schreiben, nicht in die Standardprotokolldatei. AT-TLS schreibt Nachrichten stets in syslog unter z/OS UNIX.
Für diesen Zweck muss der Dämon von syslog unter z/OS UNIX, syslogd, konfiguriert und aktiv sein. Außerdem benötigen Sie einen Mechanismus zum Steuern der Größe der Protokolldateien, die durch syslogd erstellt werden.
syslog 514/udp
# /etc/syslog.conf - control output of syslogd
# 1. all files with will be printed to /tmp/syslog.auth.log
auth.* /tmp/syslog.auth.log
# 2. all error messages printed to /tmp/syslog.error.log
*.err /tmp/syslog.error.log
# 3. all debug and above messages printed to /tmp/syslog.debug.log
*.debug /tmp/syslog.debug.log
# The files named must exist before the syslog daemon is started,
# unless -c startup option is used
# Start the SYSLOGD daemon for logging
# (clean up old logs)
sed -n '/^#/!s/.* \(.*\)/\1/p' /etc/syslog.conf | xargs -i rm {}
# (create new logs and add userid of message sender)
_BPX_JOBNAME='SYSLOGD' /usr/sbin/syslogd -cuf /etc/syslog.conf &
sleep 5
Die AT-TLS-Unterstützung wird über den Parameter TTLS in der Anweisung TCPCONFIG in der Datei PROFILE.TCPIP aktiviert. AT-TLS wird von Policy Agent verwaltet. Policy Agent muss aktiv sein, damit die AT-TLS-Richtlinie erzwungen werden kann. Da Policy Agent warten muss, bis TCP/IP aktiv ist, ist die Anweisung AUTOSTART in PROFILE.TCPIP eine gute Position zum Auslösen des Starts dieses Servers.
TCPCONFIG TTLS ; Required for AT-TLS
AUTOLOG
PAGENT ; POLICY AGENT, required for AT-TLS
ENDAUTOLOG
//PAGENT PROC PRM='-L SYSLOGD' * '' or '-L SYSLOGD'
//*
//* TCP/IP POLICY AGENT
//* (PARM) (envar)
//* default cfg file: /etc/pagent.conf (-C) (PAGENT_CONFIG_FILE)
//* default log file: /tmp/pagent.log (-L) (PAGENT_LOG_FILE)
//* default log size: 300,3 (3x 300KB files) (PAGENT_LOG_FILE_CONTROL)
//*
//PAGENT EXEC PGM=PAGENT,REGION=0M,TIME=NOLIMIT,
// PARM='ENVAR("TZ=EST5DST")/&PRM'
//SYSPRINT DD SYSOUT=*
//SYSOUT DD SYSOUT=*
//*
#
# TCP/IP Policy Agent configuration information.
#
TTLSConfig /etc/pagent.ttls.conf
# Specifies the path of a TTLS policy file holding stack specific
# statements.
#
#TcpImage TCPIP /etc/pagent.conf
# If no TcpImage statement is specified, all policies will be installed
# to the default TCP/IP stack.
#
#LogLevel 31
# The sum of the following values that represent log levels:
# LOGL_SYSERR 1
# LOGL_OBJERR 2
# LOGL_PROTERR 4
# LOGL_WARNING 8
# LOGL_EVENT 16
# LOGL_ACTION 32
# LOGL_INFO 64
# LOGL_ACNTING 128
# LOGL_TRACE 256
# Log Level 31 is the default log loglevel.
#
#Codepage IBM-1047
# Specify the EBCDIC code page to be used for reading all configuration
# files and policy definition files. IBM-1047 is the default code page.
Diese Beispielkonfigurationsdatei gibt an, wo Policy Agent die TTLS-Richtlinie finden kann. Für andere Anweisungen werden Standardwerte von Policy Agent verwendet.
Mithilfe einer TTLS-Richtlinie werden die gewünschten AT-TLS-Regeln beschrieben. Entsprechend der Definition in der Policy Agent-Konfigurationsdatei befindet sich die TTLS-Richtlinie in der Datei /etc/pagent.ttls.conf. Die erforderlichen Definitionen in Ihrer Sicherheitssoftware werden später erläutert.
##
## TCP/IP Policy Agent AT-TLS configuration information.
##
##-----------------------------
TTLSRule RDz_Debug_Manager
{
LocalPortRange 5335
Direction Inbound
TTLSGroupActionRef grp_Production
TTLSEnvironmentActionRef act_RDz_Debug_Manager
}
##-----------------------------
TTLSEnvironmentAction act_RDz_Debug_Manager
{
HandshakeRole Server
TTLSKeyRingParms
{
Keyring dbgmgr.racf # Keyring must be owned by the Debug Manager
}
TTLSEnvironmentAdvancedParms
{
## TLSV1.2 only for z/OS 2.1 and higher
# TLSV1.2 On # TLSv1 & TLSv1.1 are on by default
SSLV3 Off # disable SSLv3
}
}
##-----------------------------
TTLSRule RDz_Debug_Probe-Client
{
RemotePortRange 8001
Direction Outbound
TTLSGroupActionRef grp_Production
TTLSEnvironmentActionRef act_RDz_Debug_Probe-Client
}
##-----------------------------
TTLSEnvironmentAction act_RDz_Debug_Probe-Client
{
HandshakeRole Client
TTLSKeyRingParms
{
Keyring *AUTH*/* # virtual key ring holding CA certificates
}
TTLSEnvironmentAdvancedParms
{
## TLSV1.2 only for z/OS 2.1 and higher
# TLSV1.2 On # TLSv1 & TLSv1.1 are on by default
}
}
##-----------------------------
TTLSGroupAction grp_Production
{
TTLSEnabled On
## TLSv1.2zOS1.13 only for z/OS 1.13
TTLSGroupAdvancedParmsRef TLSv1.2zOS1.13
Trace 3 # Log Errors to syslogd & IP joblog
#Trace 254 # Log everything to syslogd
}
##-----------------------------
TTLSGroupAdvancedParms TLSv1.2zOS1.13
{
Envfile /etc/pagent.ttls.TLS1.2zOS1.13.env
}
Eine TTLS-Richtlinie ermöglicht eine große Bandbreite an Filtern, um anzugeben, in welchen Fällen eine Regel zutrifft.
Debug Manager ist ein Server, der am Port 5335 für eingehende Verbindungen von der Debug-Engine empfangsbereit ist. Diese Informationen werden in der Regel RDz_Debug_Manager erfasst.
Da für die verschlüsselte Kommunikation die Nutzung eines Serverzertifikats erforderlich ist, müssen Sie angeben, dass Policy Manager die Zertifikate des Schlüsselrings dbgmgr.racf verwenden muss, dessen Eigner die Benutzer-ID für die gestartete Task von Debug Manager ist. Standardmäßig ist die Unterstützung für TLS V1.2 inaktiviert, also wird sie durch diese Richtlinie explizit aktiviert. SSLv3.0 ist aufgrund bekannter Sicherheitslücken in diesem Protokoll explizit inaktiviert.
Wenn der Debug-Testmonitor mit der Option TEST(,,,TCPIP&&ipaddress%8001:*) für die Language Environment (Language Environment - LE) gestartet wird, wird er angewiesen, den Debug Manager nicht zu verwenden, sondern den Developer for z Systems-Client am Port 8001 direkt zu kontaktieren. Aus einer TCP/IP-Perspektive bedeutet dies, dass der hostbasierte Debug-Testmonitor ein Client ist, der einen Server (die Debugbenutzerschnittstelle) im Developer for z Systems-Client kontaktiert. Diese Informationen werden in der Regel RDz_Debug_Probe-Client erfasst.
Da der Host ein TCP/IP-Client ist, benötigt der Richtlinienmanager eine Methode zum Validieren der von der Debugbenutzerschnittstelle bereitgestellten Serverzertifikate. In diesem Fall wird kein einheitlich benannter Schlüsselring für alle Benutzer verwendet, für die möglicherweise eine verschlüsselte Debugsitzung erforderlich wäre; stattdessen wird der virtuelle Schlüsselring (*AUTH*/*) der RACF-CERTAUTH verwendet. Dieser virtuelle Schlüsselring enthält die öffentlichen Zertifikate von Zertifizierungsstellen (Certificate Authorities - CAs) und kann verwendet werden, wenn die Debugbenutzerschnittstelle ein von einer der akzeptierten CAs unterzeichnetes Serverzertifikat bereitstellt.
Beachten Sie, dass Sie für komplexere Richtlinien den IBM Konfigurationsassistenten für z/OS Communications Server verwenden sollten. Dabei handelt es sich um ein grafisch orientiertes Tool mit einer geführten Schnittstelle für die Konfiguration von auf Richtlinien basierenden TCP/IP-Netzfunktionen, das als Task in IBM z/OS Management Facility (z/OSMF) sowie als eigenständige Workstationanwendung verfügbar ist.
Die Unterstützung für TLS V1.2 ist ab z/OS 2.1 verfügbar und ist standardmäßig inaktiviert. Diese Richtlinie enthält den Befehl (TLSV1.2 On) zur expliziten Aktivierung der Unterstützung. Dieser Befehl ist jedoch auf Kommentar gesetzt, da das Zielsystem z/OS 1.13 verwendet.
#
# Add TLSv1.2 support to AT-TLS
# requires z/OS 1.13 with OA39422 and PM62905
#
GSK_RENEGOTIATION=ALL
GSK_PROTOCOL_TLSV1_2=ON
Für Ihre Sicherheitskonfiguration sind mehrere Updates erforderlich, damit AT-TLS ordnungsgemäß funktioniert. Dieser Abschnitt enthält RACF-Beispielbefehle für die Ausführung der erforderlichen Konfiguration.
# define started task user ID
# BPX.DAEMON permit is required for non-zero UID
ADDUSER PAGENT DFLTGRP(SYS1) OMVS(UID(0) SHARED HOME('/')) +
NAME('TCP/IP POLICY AGENT') NOPASSWORD
# define started task
RDEFINE STARTED PAGENT.* STDATA(USER(PAGENT) GROUP(SYS1)) +
DATA('TCP/IP POLICY AGENT')
# refresh to make the changes visible
SETROPTS RACLIST(STARTED) REFRESH
# restrict startup of policy agent
RDEFINE OPERCMDS MVS.SERVMGR.PAGENT UACC(NONE) +
DATA('restrict startup of policy agent')
PERMIT MVS.SERVMGR.PAGENT CLASS(OPERCMDS) ACCESS(CONTROL) ID(PAGENT)
# refresh to make the changes visible
SETROPTS RACLIST(OPERCMDS) REFRESH
# block stack access between stack and AT-TLS availability
# SETROPTS GENERIC(SERVAUTH)
# SETROPTS CLASSACT(SERVAUTH) RACLIST(FACILITY)
RDEFINE SERVAUTH EZB.INITSTACK.** UACC(NONE)
# Policy Agent
PERMIT EZB.INITSTACK.** CLASS(SERVAUTH) ACCESS(READ) ID(PAGENT)
# OMPROUTE daemon
PERMIT EZB.INITSTACK.** CLASS(SERVAUTH) ACCESS(READ) ID(OMPROUTE)
# SNMP agent and subagents
PERMIT EZB.INITSTACK.** CLASS(SERVAUTH) ACCESS(READ) ID(OSNMPD)
PERMIT EZB.INITSTACK.** CLASS(SERVAUTH) ACCESS(READ) ID(IOBSNMP)
# NAME daemon
PERMIT EZB.INITSTACK.** CLASS(SERVAUTH) ACCESS(READ) ID(NAMED)
# refresh to make the changes visible
SETROPTS RACLIST(SERVAUTH) REFRESH
# restrict access to pasearch command
# RDEFINE SERVAUTH EZB.PAGENT.** UACC(NONE) +
# DATA('restrict access to pasearch command')
# PERMIT EZB.PAGENT.** CLASS(SERVAUTH) ACCESS(READ) ID(tcpadmin)
# refresh to make the changes visible
# SETROPTS RACLIST(SERVAUTH) REFRESH
# permit Debug Manager to access certificates
#RDEFINE FACILITY IRR.DIGTCERT.LIST UACC(NONE)
#RDEFINE FACILITY IRR.DIGTCERT.LISTRING UACC(NONE)
PERMIT IRR.DIGTCERT.LIST CLASS(FACILITY) ACCESS(READ) ID(stcdbm)
PERMIT IRR.DIGTCERT.LISTRING CLASS(FACILITY) ACCESS(READ) ID(stcdbm)
# refresh to make the changes visible
SETROPTS RACLIST(FACILITY) REFRESH
# create self-signed certificate
RACDCERT ID(stcdbm) GENCERT SUBJECTSDN(CN('RDz Debug Manager') +
OU('RTP labs') O('IBM') L('Raleigh') SP('NC') C('US')) +
NOTAFTER(DATE(2015-12-31)) KEYUSAGE(HANDSHAKE) WITHLABEL('dbgmgr')
# (optional) additional steps required to use a signed certificate
# 1. create a signing request for the self-signed certificate
RACDCERT ID(stcdbm) GENREQ (LABEL('dbgmgr')) DSN(dsn)
# 2. send the signing request to your CA of choice
# 3. check if the CA credentials (also a certificate) are already known
RACDCERT CERTAUTH LIST
# 4. mark the CA certificate as trusted
RACDCERT CERTAUTH ALTER(LABEL('CA cert')) TRUST
# or add the CA certificate to the database
RACDCERT CERTAUTH ADD(dsn) WITHLABEL('CA cert') TRUST
# 5. add the signed certificate to the database;
# this will replace the self-signed one
RACDCERT ID(stcdbm) ADD(dsn) WTIHLABEL('dbgmgr') TRUST
# Do NOT delete the self-signed certificate before replacing it.
# If you do, you lose the private key that goes with the certificate,
# which makes the certificate useless.
# create key ring
RACDCERT ID(stcdbm) ADDRING(dbgmgr.racf)
# add certificate to key ring
RACDCERT ID(stcbm) CONNECT(LABEL('dbgmgr') +
RING(dbgmgr.racf) USAGE(PERSONAL) DEFAULT)
# additional step required to use a signed certificate
# 6. add CA certificate to key ring
RACDCERT ID(stcdbm) CONNECT(CERTAUTH LABEL('CA cert') +
RING(dbgmgr.racf))
# refresh to make the changes visible
SETROPTS RACLIST(DIGTCERT) REFRESH
# check if the CA credentials (also a certificate) are already known
RACDCERT CERTAUTH LIST
# mark the CA certificate as trusted
RACDCERT CERTAUTH ALTER(LABEL('CA cert')) TRUST
# or add the CA certificate to the database
RACDCERT CERTAUTH ADD(dsn) WITHLABEL('CA cert') TRUST
# refresh to make the changes visible
SETROPTS RACLIST(DIGTCERT) REFRESH
# verify started task setup
LISTGRP SYS1 OMVS
LISTUSER PAGENT OMVS
RLIST STARTED PAGENT.* ALL STDATA
# verify Policy Agent startup permission
RLIST OPERCMDS MVS.SERVMGR.PAGENT ALL
# verify initstack protection
RLIST SERVAUTH EZB.INITSTACK.** ALL
# verify pasearch protection
RLIST SERVAUTH EZB.PAGENT.** ALL
# verify certificate setup
RACDCERT CERTAUTH LIST(LABEL('CA cert'))
RACDCERT ID(stcdbm) LIST(LABEL('dbgmgr'))
RACDCERT ID(stcdbm) LISTRING(dbgmgr.racf)
TCPCONFIG TTLS
V TCPIP,,OBEY,TCPIP.TCPPARMS(OBEY)
EZZ4249I stackname INSTALLED TTLS POLICY HAS NO RULES
S PAGENT
EZD1586I PAGENT HAS INSTALLED ALL LOCAL POLICIES FOR stackname
P DBGMGR
S DBBMGR
In diesem Dokument werden die folgenden Veröffentlichungen referenziert:
Titel der Veröffentlichung | Formnummer | Bezug | Referenzwebsite |
---|---|---|---|
Program Directory for IBM Rational Developer for z Systems | GI11-8298 | Developer for z Systems | http://www-01.ibm.com/support/docview.wss?uid=swg27038517 |
Program Directory for IBM Rational Developer for z Systems Host Utilities | GI13-2864 | Developer for z Systems | http://www-01.ibm.com/support/docview.wss?uid=swg27038517 |
IBM Rational Developer for z Systems Hostkonfiguration | SC27-8577 | Developer for z Systems | http://www-01.ibm.com/support/docview.wss?uid=swg27038517 |
IBM Rational Developer for z Systems Hostkonfigurationsreferenz | SC27-8578 | Developer for z Systems | http://www-01.ibm.com/support/docview.wss?uid=swg27038517 |
IBM Rational Developer for z Systems Common Access Repository Manager Developer's Guide | SC23-7660 | Developer for z Systems | http://www-01.ibm.com/support/docview.wss?uid=swg27038517 |
SCLM Developer Toolkit Administrator's Guide | SC23-9801 | Developer for z Systems | http://www-01.ibm.com/support/docview.wss?uid=swg27038517 |
IBM Explorer for z/OS Host Configuration Guide | SC27-8437 | z/OS Explorer | |
IBM Explorer for z/OS Host Configuration Reference | SC27-8438 | z/OS Explorer | |
![]() ![]() |
![]() ![]() |
![]() ![]() |
![]() ![]() |
Communications Server IP Configuration Guide | SC31-8775 | z/OS 1.13 | http://www-03.ibm.com/servers/eserver/zseries/zos/bkserv/ |
Communications Server IP Configuration Reference | SC31-8776 | z/OS 1.13 | http://www-03.ibm.com/servers/eserver/zseries/zos/bkserv/ |
MVS Initialization and Tuning Guide | SA22-7591 | z/OS 1.13 | http://www-03.ibm.com/servers/eserver/zseries/zos/bkserv/ |
MVS Initialization and Tuning Reference | SA22-7592 | z/OS 1.13 | http://www-03.ibm.com/servers/eserver/zseries/zos/bkserv/ |
MVS JCL Reference | SA22-7597 | z/OS 1.13 | http://www-03.ibm.com/servers/eserver/zseries/zos/bkserv/ |
MVS Planning Workload Management | SA22-7602 | z/OS 1.13 | http://www-03.ibm.com/servers/eserver/zseries/zos/bkserv/ |
MVS System Commands | SA22-7627 | z/OS 1.13 | http://www-03.ibm.com/servers/eserver/zseries/zos/bkserv/ |
Security Server RACF Command Language Reference | SA22-7687 | z/OS 1.13 | http://www-03.ibm.com/servers/eserver/zseries/zos/bkserv/ |
Security Server RACF Security Administrator's Guide | SA22-7683 | z/OS 1.13 | http://www-03.ibm.com/servers/eserver/zseries/zos/bkserv/ |
UNIX System Services Command Reference | SA22-7802 | z/OS 1.13 | http://www-03.ibm.com/servers/eserver/zseries/zos/bkserv/ |
UNIX System Services Planning | GA22-7800 | z/OS 1.13 | http://www-03.ibm.com/servers/eserver/zseries/zos/bkserv/ |
UNIX System Services User's Guide | SA22-7801 | z/OS 1.13 | http://www-03.ibm.com/servers/eserver/zseries/zos/bkserv/ |
Using REXX and z/OS UNIX System Services | SA22-7806 | z/OS 1.13 | http://www-03.ibm.com/servers/eserver/zseries/zos/bkserv/ |
Beschreibung | Referenzwebsite |
---|---|
Developer for z Systems IBM Knowledge Center | http://www-01.ibm.com/support/knowledgecenter/SSQ2R2/rdz_welcome.html |
Developer for z Systems-Bibliothek | http://www-01.ibm.com/support/docview.wss?uid=swg27038517 |
Developer for z Systems-Homepage | http://www-03.ibm.com/software/products/en/developerforsystemz/ |
Empfohlener Service für Developer for z Systems | http://www-01.ibm.com/support/docview.wss?rs=2294&context=SS2QJ2&uid=swg27006335 |
Verbesserungsvorschlag für Developer for z Systems | https://www.ibm.com/developerworks/support/rational/rfe/ |
Download von Apache Ant | http://ant.apache.org/ |
Titel der Veröffentlichung | Formnummer | Bezug | Referenzwebsite |
---|---|---|---|
ABCs of z/OS System Programming Volume 9 (z/OS UNIX) | SG24-6989 | Redbook | http://www.redbooks.ibm.com/ |
System Programmer’s Guide to: Workload Manager | SG24-6472 | Redbook | http://www.redbooks.ibm.com/ |
TCPIP Implementation Volume 1: Base Functions, Connectivity, and Routing | SG24-7532 | Redbook | http://www.redbooks.ibm.com/ |
TCPIP Implementation Volume 3: High Availability, Scalability, and Performance | SG24-7534 | Redbook | http://www.redbooks.ibm.com/ |
TCP/IP Implementation Volume 4: Security and Policy-Based Networking | SG24-7535 | Redbook | http://www.redbooks.ibm.com/ |
Tivoli Directory Server for z/OS | SG24-7849 | Redbook | http://www.redbooks.ibm.com/ |
Die vorliegenden Informationen wurden für Produkte und Services entwickelt, die auf dem deutschen Markt angeboten werden. IBM stellt dieses Material möglicherweise auch in anderen Sprachen zur Verfügung. Für den Zugriff auf das Material in einer anderen Sprache kann eine Kopie des Produkts oder der Produktversion in der jeweiligen Sprache erforderlich sein.
Möglicherweise bietet IBM die in dieser Dokumentation beschriebenen Produkte, Services oder Funktionen in anderen Ländern nicht an. Informationen über die gegenwärtig im jeweiligen Land verfügbaren Produkte und Services sind beim zuständigen IBM Ansprechpartner erhältlich. Hinweise auf IBM Lizenzprogramme oder andere IBM Produkte bedeuten nicht, dass nur Programme, Produkte oder Services von IBM verwendet werden können. Anstelle der IBM Produkte, Programme oder Services können auch andere, ihnen äquivalente Produkte, Programme oder Services verwendet werden, solange diese keine gewerblichen oder anderen Schutzrechte von IBM verletzen. Die Verantwortung für den Betrieb von Produkten, Programmen und Services anderer Anbieter liegt beim Kunden.
IBM Director of Licensing
IBM Europe, Middle East & Africa
North Castle Drive, MD-NC119
92066 Paris La Defense
US
Trotz sorgfältiger Bearbeitung können technische Ungenauigkeiten oder Druckfehler in dieser Veröffentlichung nicht ausgeschlossen werden. Die Angaben in diesem Handbuch werden in regelmäßigen Zeitabständen aktualisiert. Die Änderungen werden in Überarbeitungen oder in Technical News Letters (TNLs) bekannt gegeben. IBM kann ohne weitere Mitteilung jederzeit Verbesserungen und/oder Änderungen an den in dieser Veröffentlichung beschriebenen Produkten und/oder Programmen vornehmen.
Verweise in diesen Informationen auf Websites anderer Anbieter werden lediglich als Service für den Kunden bereitgestellt und stellen keinerlei Billigung des Inhalts dieser Websites dar. Das über diese Websites verfügbare Material ist nicht Bestandteil des Materials für dieses IBM Produkt. Die Verwendung dieser Websites geschieht auf eigene Verantwortung.
IBM kann alle von Ihnen bereitstellten Informationen beliebig verwenden oder verteilen, ohne dass eine Verpflichtung gegenüber Ihnen entsteht.
IBM Director of Licensing
IBM Europe, Middle East & Africa
North Castle Drive, MD-NC119
92066 Paris La Defense
US
Die Bereitstellung dieser Informationen kann unter Umständen von bestimmten Bedingungen - in einigen Fällen auch von der Zahlung einer Gebühr - abhängig sein.
Die Lieferung des im Dokument aufgeführten Lizenzprogramms sowie des zugehörigen Lizenzmaterials erfolgt auf der Basis der IBM Rahmenvereinbarung bzw. der Allgemeinen Geschäftsbedingungen von IBM, der IBM Internationalen Nutzungsbedingungen für Programmpakete oder einer äquivalenten Vereinbarung.
Die aufgeführten Leistungsdaten und Clientbeispiele sind nur zur Veranschaulichung gedacht. Tatsächliche Leistungsergebnisse können je nach Konfiguration und Betriebsbedingungen variieren.
Alle Informationen zu Produkten anderer Anbieter stammen von den Anbietern der aufgeführten Produkte, deren veröffentlichten Ankündigungen oder anderen allgemein verfügbaren Quellen. IBM hat diese Produkte nicht getestet und kann daher keine Aussagen zu Leistung, Kompatibilität oder anderen Eigenschaften machen. Fragen zu den Leistungsmerkmalen von Produkten anderer Anbieter sind an den jeweiligen Anbieter zu richten.
Die oben genannten Erklärungen bezüglich der Produktstrategien und Absichtserklärungen von IBM stellen die gegenwärtige Absicht von IBM dar, unterliegen Änderungen oder können zurückgenommen werden und repräsentieren nur die Ziele von IBM.
Diese Veröffentlichung enthält Beispiele für Daten und Berichte des alltäglichen Geschäftsablaufs. Sie sollen nur die Funktionen des Lizenzprogramms illustrieren; sie können Namen von Personen, Firmen, Marken oder Produkten enthalten. Alle diese Namen sind frei erfunden; Ähnlichkeiten mit tatsächlichen Namen und Unternehmen sind rein zufällig.
COPYRIGHTLIZENZ:
Diese Veröffentlichung enthält Musteranwendungsprogramme, die in Quellensprache geschrieben sind und Programmiertechniken in verschiedenen Betriebsumgebungen veranschaulichen. Sie dürfen diese Musterprogramme in beliebiger Form kopieren, ändern und verteilen, ohne dass dafür Zahlungen an IBM anfallen, wenn dies zu dem Zweck geschieht, Anwendungsprogramme zu entwickeln, zu verwenden, zu vermarkten oder zu verteilen, die mit der Anwendungsprogrammierschnittstelle für die Betriebsumgebung konform sind, für die diese Musterprogramme geschrieben werden. Diese Beispiele wurden nicht unter allen denkbaren Bedingungen getestet. Daher kann IBM die Zuverlässigkeit, Wartungsfreundlichkeit oder Funktion dieser Programme weder zusagen noch gewährleisten. Die Beispielprogramme werden auf der Grundlage des gegenwärtigen Zustands (auf "as-is"-Basis) und ohne Gewährleistung zur Verfügung gestellt. IBM haftet nicht für Schäden, die durch Verwendung oder im Zusammenhang mit diesen Beispielprogrammen entstehen.
IBM, das IBM Logo und ibm.com sind Marken oder eingetragene Marken der International Business Machines Corp. Weitere Produkt- und Servicenamen können Marken von IBM oder anderen Unternehmen sein. Eine aktuelle Liste der IBM Marken finden Sie im Web unter www.ibm.com/legal/copytrade.shtml im Abschnitt "Copyright and trademark information".
Die Berechtigung zur Nutzung dieser Veröffentlichungen wird Ihnen auf der Basis der folgenden Bedingungen gewährt.
Diese Bedingungen sind eine Ergänzung der Nutzungsbedingungen auf der IBM Website.
Sie dürfen diese Veröffentlichungen für Ihre persönliche, nicht kommerzielle Nutzung unter der Voraussetzung vervielfältigen, dass alle Eigentumsvermerke erhalten bleiben. Sie dürfen diese Veröffentlichungen oder Teile der Veröffentlichungen ohne ausdrückliche Genehmigung von IBM weder weitergeben oder anzeigen noch abgeleitete Werke davon erstellen.
ie dürfen diese Veröffentlichungen nur innerhalb Ihres Unternehmens und unter der Voraussetzung, dass alle Eigentumsvermerke erhalten bleiben, vervielfältigen, weitergeben und anzeigen. Sie dürfen diese Veröffentlichungen oder Teile der Veröffentlichungen ohne ausdrückliche Genehmigung von IBM außerhalb Ihres Unternehmens weder vervielfältigen, weitergeben oder anzeigen noch abgeleitete Werke davon erstellen.
Abgesehen von den hier gewährten Berechtigungen erhalten Sie keine weiteren Berechtigungen, Lizenzen oder Rechte (veröffentlicht oder stillschweigend) in Bezug auf die Veröffentlichungen oder darin enthaltene Informationen, Daten, Software oder geistiges Eigentum.
IBM behält sich das Recht vor, die in diesem Dokument gewährten Berechtigungen nach eigenem Ermessen zurückzuziehen, wenn sich die Nutzung der Veröffentlichungen für IBM als nachteilig erweist oder wenn die obigen Nutzungsbedingungen nicht genau befolgt werden.
Sie dürfen diese Informationen nur in Übereinstimmung mit allen anwendbaren Gesetzen und Verordnungen, einschließlich aller US-amerikanischen Exportgesetze und Verordnungen, herunterladen und exportieren.
IBM übernimmt keine Gewährleistung für den Inhalt dieser Veröffentlichungen. Diese Veröffentlichungen werden auf der Grundlage des gegenwärtigen Zustands (auf "as-is"-Basis) und ohne eine ausdrückliche oder stillschweigende Gewährleistung für die Handelsüblichkeit, die Verwendungsfähigkeit oder die Freiheit der Rechte Dritter zur Verfügung gestellt.
Diese Veröffentlichung enthält Musteranwendungsprogramme, die in Quellensprache geschrieben sind und Programmiertechniken in verschiedenen Betriebsumgebungen veranschaulichen. Sie dürfen diese Musterprogramme kostenlos kopieren, ändern und verteilen, wenn dies zu dem Zweck geschieht, Anwendungsprogramme zu entwickeln, zu verwenden, zu vermarkten oder zu verteilen, die mit der Anwendungsprogrammierschnittstelle für die Betriebsumgebung konform sind, für die diese Musterprogramme geschrieben werden. Diese Beispiele wurden nicht unter allen denkbaren Bedingungen getestet. Daher kann IBM die Zuverlässigkeit, Wartungsfreundlichkeit oder Funktion dieser Programme weder zusagen noch gewährleisten. Die Beispielprogramme werden auf der Grundlage des gegenwärtigen Zustands (auf "as-is"-Basis) und ohne Gewährleistung zur Verfügung gestellt. IBM haftet nicht für Schäden, die durch Verwendung oder im Zusammenhang mit den Beispielprogrammen entstehen.
IBM, das IBM Logo und ibm.com sind Marken oder eingetragene Marken der International Business Machines Corp. Weitere Produkt- und Servicenamen können Marken von IBM oder anderen Unternehmen sein. Eine aktuelle Liste der IBM Marken finden Sie im Web unter www.ibm.com/legal/copytrade.shtml.
Adobe und PostScript sind Marken von Adobe Systems Incorporated.
Cell Broadband Engine - Sony Computer Entertainment Inc.
Rational ist eine Marke der International Business Machines Corporation und der Rational Software Corporation in den USA und/oder anderen Ländern.
Intel, Intel Centrino, Intel SpeedStep, Intel Xeon, Celeron, Itanium und Pentium sind Marken der Intel Corporation in den USA und/oder anderen Ländern.
IT Infrastructure Library ist eine Marke der Central Computer and Telecommunications Agency.
ITIL ist eine Marke des Cabinet Office (The Minister for the Cabinet Office).
Linear Tape-Open, LTO und Ultrium sind Marken von HP, IBM Corp. und Quantum.
Linux ist eine Marke von Linus Torvalds.
Microsoft, Windows und das Windows-Logo sind Marken oder eingetragene Marken der Microsoft Corporation in den USA und/oder anderen Ländern.
Java und alle Java-basierten Marken und Logos sind Marken oder eingetragene Marken von Sun Microsystems, Inc. in den USA und/oder anderen Ländern.
UNIX ist eine eingetragene Marke von The Open Group in den USA und anderen Ländern.