Nota: Antes de usar estas informações, certifique-se de ler as informações gerais
em Avisos.
|
Esta edição aplica-se a
IBM®
Rational Developer for z Systems
Versão 9.5 (número de programa 5724-T07 ou parte do número de programa 5697-CDT)
e a todas as liberações e modificações subsequentes, até que seja indicado de outra forma em novas edições.
Solicite as publicações pelo telefone ou fax. O IBM Software Manufacturing Solutions recebe os pedidos de publicações entre 8h30 e 19h, horário padrão na costa leste dos Estados Unidos. O número de telefone é (800) 879-2755. O número de fax é (800) 445-9269. O fax deve ser enviado para: Publications, 3rd floor.
Você também pode solicitar as publicações por meio de um representante IBM ou da filial da IBM que atende em sua região. As publicações não são guardadas no endereço a seguir.
A IBM agradece pelo seu comentário. Você pode enviar os comentários por correio ao seguinte endereço:
IBM Brasil - Centro de Traduções
Rodovia SP 101 Km 09
Building 501 P.O. Box 12195
CEP 13185-900
Hortolândia, SP
É possível enviar um fax com os seus comentários para: 1-800-227-5088 (Estados Unidos e Canadá)
Ao enviar informações à IBM, você concede à IBM o direito não-exclusivo de utilizar ou distribuir as informações da forma que julgar apropriada, sem incorrer em qualquer obrigação para com o Cliente.
© Copyright IBM Corporation 2000, 2015
Nota sobre Direitos Restritos para Usuários do Governo dos Estados Unidos - Uso, duplicação ou divulgação restritos pelo documento GSA ADP Schedule Contract com a IBM Corp.
Este documento fornece informações de segundo plano para diversas tarefas de configuração do próprio IBM Rational Developer for z Systems e outros componentes e produtos z/OS (como WLM e TCP/IP).
As informações deste documento aplicam-se a todos os pacotes do IBM Rational Developer for z Systems Versão 9.5.1.
Para obter as versões mais atualizadas deste documento, consulte o Guia Referência de Configuração do Host (SC27-8578) do IBM Rational Developer for z Systems disponível em http://www-05.ibm.com/e-business/linkweb/publications/servlet/pbi.wss?CTY=US&FNC=SRX&PBL=SC27-8578.
Para obter as versões mais atualizadas da documentação completa, incluindo instruções de instalação, White Papers, podcasts e tutoriais, consulte a página da biblioteca do IBM Rational Developer for z Systems website (http://www-01.ibm.com/software/sw-library/en_US/products/Z964267S85716U24/).
Este documento destina-se a configuração e ajuste de programadores de sistemas do IBM Rational Developer for z Systems Versão 9.5.1.
Enquanto as etapas de configuração reais são descritas em outra publicação, esta publicação lista em detalhes vários assuntos relacionados, como ajuste, configuração de segurança, entre outros. Para usar este documento, você deve estar familiarizado com os sistemas host z/OS UNIX System Services e MVS.
Esta seção resume as mudanças da
Referência de Configuração do Host, SC43-2907-00 do IBM
Rational Developer for z Systems
Versão 9.5.1 (atualizado em
dezembro de 2015).
Mudanças técnicas e adições ao texto e ilustrações são indicadas por uma linha vertical à esquerda da mudança.
Novas informações:
Informações removidas:
Na versão 9.5.1, as funções relacionadas ao Monitor de Tarefas RSE e JES movidas do
IBM
Rational Developer for z Systems para um outro produto,
o IBM Explorer for z/OS. Esta movimentação inclui a documentação
relacionada.
Este documento contém informações apresentadas anteriormente
na Referência de Configuração do Host, SC14-7290-09 do IBM
Rational Developer for z Systems
Versão 9.5..
Este documento contém informações anteriormente apresentadas na
Referência de Configuração do Host, SC14-7290-08 do
IBM Rational Developer
for System z Versão
9.1.1 .
Este documento contém informações anteriormente apresentadas na Referência de Configuração de Host do IBM Rational Developer for System z Versão 9.1.1, SC14-7290-07.
Esse documento contém informações apresentadas anteriormente na Referência de Configuração de Host do IBM Rational Developer for System z Versão 9.0.1, SC14-7290-06.
Esse documento contém informações apresentadas anteriormente na Referência de Configuração de Host do IBM Rational Developer for System z Versão 9.0.1, SC14-7290-05.
Novas informações:
Este documento contém informações apresentadas anteriormente no IBM Rational Developer for System z Versão 8.5.1: Referência de Configuração de Host, S517-9857-03.
Este documento contém informações anteriormente presentes na Referência de Configuração de Host do IBM Rational Developer for System z Versão 8.5, S517-9857-02.
Esta seção resume as informações apresentadas neste documento.
O host do Developer for z Systems consiste em diversos componentes que interagem para dar ao cliente acesso aos dados e serviços do host. Entender o design desses componentes pode ajudá-lo a tomar as decisões corretas de configuração.
O Developer for z
Systems
interage com outros componentes de host, que tem implicações de segurança.
O Developer for z Systems usa TCP/IP para fornecer acesso ao mainframe para usuários de uma estação de trabalho sem mainframe. Ele também usa TCP/IP para comunicação entre vários componentes e outros produtos.
Ao contrário dos aplicativos tradicionais do z/OS, o Developer for z Systems não é um aplicativo monolítico que pode ser identificado facilmente para Workload Manager (WLM). O Developer for z Systems consiste de vários componentes que interagem para fornecer ao cliente acesso para os serviços e dados do host. Alguns destes serviços estão ativos em diferentes espaços de endereço, resultando em diferentes classificações de WLM.
O Developer for z
Systems amplia
o direcionamento ao cliente do z/OS Explorer,
ou controle de cliente baseado em host, com suporte para definições de projetos.
Este capítulo contém informações úteis para um administrador do CICS Transaction Server.
Essa seção é fornecida para ajudá-lo com alguns problemas comuns
que podem ser encontrados durante a configuração da
Segurança da Camada de Transporte Transparente do Aplicativo
(AT-TLS) ou durante a verificação ou modificação de uma configuração
existente.
O host do Developer for z Systems consiste em diversos componentes que interagem para dar ao cliente acesso aos dados e serviços do host. Entender o design desses componentes pode ajudá-lo a tomar as decisões corretas de configuração.
O Developer for z
Systems é compilado na parte
superior do IBM Explorer for z/OS . Para obter informações
relacionadas ao z/OS Explorer, consulte “Considerações sobre Segurança” na
Referência de Configuração do Host (SC27-8438) do IBM Explorer
for z/OS .
A descrição no parágrafo e a lista mostram a função central designada ao RSE. Com algumas exceções, toda a comunicação do cliente passa pelo RSE. Isso é permitido para uma configuração fácil da rede relacionada à segurança, uma vez que apenas um conjunto limitado de portas é usado para a comunicação entre o cliente e o host.
Para gerenciar as conexões e as cargas de trabalho a partir dos clientes, o RSE é formado por um espaço de endereço do daemon, que controla os espaços de endereços do conjunto de encadeamento. O daemon age
como um ponto focal para fins de conexão e gerenciamento, enquanto os
conjuntos de encadeamentos processam as cargas de trabalho do cliente.
Com base nos valores definidos no arquivo de configuração rse.env
e na quantidade de conexões reais de clientes, diversos espaços de endereços do conjunto de encadeamentos
podem ser iniciados pelo daemon.
O Figura 2 mostra
uma visão geral básica do proprietário das credenciais de segurança usadas
para diversas tarefas do z/OS Explorer e do
Developer for z
Systems.
A propriedade de uma tarefa pode ser dividida em duas seções.
As tarefas
iniciadas são propriedades do ID do usuário que é designado para a tarefa iniciada em seu software de segurança. Todos as outras tarefas, com os conjuntos de encadeamentos (RSEDx) como exceção, são propriedades do ID de usuário cliente.
O Figura 2 mostra as tarefas iniciadas do z/OS Explorer e Developer for z Systems (DBGMGR, JMON e RSED), e tarefas iniciadas de amostra e serviços do sistema com quem o Developer for z Systems se comunica. A tag USS REXEC representa o serviço do z/OS UNIX REXEC (ou SSH).
O daemon RSE (RSED) cria um ou mais espaços de endereço do conjunto de encadeamentos (RSEDx) para processar os pedidos dos clientes. Cada conjunto de encadeamentos RSE suporta múltiplos clientes e é propriedade do mesmo usuário como um daemon RSE. Cada cliente possui seus próprios encadeamentos dentro de um conjunto de encadeamentos, e estes encadeamentos são propriedades do ID de usuário cliente.
Dependendo das ações concluídas pelo cliente, um ou mais espaços de endereço adicionais podem ser iniciados, todos propriedades do ID de usuário cliente, para executar uma ação solicitada. Esses espaços de endereço podem ser uma tarefa em lote MVS, uma transação APPC ou um processo-filho z/OS UNIX. Observe que um processo-filho z/OS UNIX está ativo em um inicializador z/OS UNIX (BPXAS) e o processo-filho aparece com uma tarefa iniciada no JES.
A criação destes espaços de endereços é mais frequentemente acionada por um encadeamento do usuário em um conjunto de encadeamentos, diretamente ou usando serviços do sistema como ISPF. Mas o espaço de endereço também poderia ser criado por um terceiro. Por exemplo, z/OS UNIX REXEC ou SSH são envolvidos quando iniciam construções no z/OS UNIX.
Os espaços de endereços do usuário terminam com a conclusão da tarefa ou quando um cronômetro de inatividade vence. As tarefas iniciadas permanecem ativas. Os espaços de endereços listados em Figura 2 permanecem no sistema tempo suficiente para serem visíveis. No entanto, é recomendável estar ciente que, devido à maneira com que o z/OS UNIX é projetado, há também vários espaços de endereço temporários de curta duração.
O Developer for z Systems suporta vários métodos para iniciar um servidor CARMA. Cada método tem vantagens e desvantagens. O Developer for z Systems também fornece vários Repository Access Managers (RAMs), os quais podem ser divididos em dois grupos, RAMs de produção e RAMs de amostra. Várias combinações de RAMs e métodos de inicialização do servidor estão disponíveis como uma configuração pré-configurada.
Todos os métodos de inicialização do servidor compartilham um arquivo de configuração comum, CRASRV.properties, o qual (junto com outras coisas) especifica qual método de inicialização será usado.
O método "CRASTART" inicia o servidor CARMA como uma subtarefa dentro do RSE. Ele fornece uma configuração bastante flexível utilizando um arquivo de configuração separado, que define alocações de conjuntos de dados, e chamadas de programas necessárias para iniciar um servidor CARMA. Esse método fornece o melhor desempenho e utiliza o mínimo de recursos, mas requer que o módulo CRASTART esteja localizado no LPA.
O RSE chama o módulo de carregamento CRASTART, o qual usa as definições em crastart*.conf para criar um ambiente válido para executar comandos ISPF e TSO em lote. O Developer for z Systems usa este ambiente para executar o servidor CARMA, CRASERV. O Developer for z Systems fornece vários arquivos crastart*.conf, cada um deles pré-configurado para um RAM específico.
O método "envio em lote" inicia o servidor CARMA enviando uma tarefa. Esse é o método padrão utilizado nos arquivos de configuração de amostra fornecidos. O benefício desse método é que os logs do CARMA são facilmente acessados na saída de tarefas. Ele também permite o uso de JCL de servidor customizado para cada desenvolvedor, que é mantido pelo próprio desenvolvedor. Entretanto, esse método utiliza um iniciador de JES por desenvolvedor que iniciar um servidor CARMA.
O RSE chama o CLIST CRASUB*, o qual por sua vez envia um JCL embutido para criar um ambiente válido para executar os comandos ISPF e TSO em lote. O Developer for z Systems usa esse ambiente para executar o servidor CARMA, CRASERV. O Developer for z Systems fornece vários membros CRASUB*, cada um pré-configurado para uma RAM específica.
Figura 5 mostra uma visão geral dos diretórios do z/OS UNIX usados pelo Developer for z Systems. A lista a seguir descreve cada diretório tocado pelo Developer for z Systems, como o local pode ser alterado e que mantém os dados dentro dele.
O Developer for z
Systems amplia o
z/OS Explorer oferecendo funções adicionais,
algumas das quais interagem com outros componentes do sistema e
produtos, como um Software Configuration Manager (SCM). As
definições de segurança específicas do Developer for z
Systems
são usadas para assegurar as funções fornecidas.
Os mecanismos de segurança usados pelos servidores e serviços do Developer for z Systems dependem dos conjuntos de dados e sistemas de arquivos no qual ele reside sejam seguros. Isto indica que apenas administradores confiáveis de sistema podem ser capazes de atualizar as bibliotecas de programa e os arquivos de configuração.
O Developer for z
Systems é compilado na parte
superior do IBM Explorer for z/OS . Para obter informações
relacionadas ao z/OS Explorer, consulte “Considerações sobre Segurança” na Referência de Configuração
do Host (SC27-8438) do IBM Explorer for z/OS .
Os seguintes tópicos são abordados neste capítulo:
Autenticação do CARMA
A autenticação de cliente é feita pelo daemon RSE, como parte da solicitação de conexão do cliente. O CARMA é iniciado a partir de um encadeamento específico de usuário, e herda o ambiente de segurança do usuário, efetuando bypass da necessidade de autenticação adicional.
Autenticação do SCLM Developer Toolkit
A autenticação de cliente é feita pelo daemon RSE, como parte da solicitação de conexão do cliente. O CARMA é iniciado a partir de um encadeamento específico de usuário, e herda o ambiente de segurança do usuário, efetuando bypass da necessidade de autenticação adicional.
A autenticação de cliente é feita pelo daemon RSE, como parte da solicitação de conexão do cliente. Depois de o usuário ser autenticado,
os PassTickets gerados automaticamente são usados para todas as solicitações de autenticação
futuras, incluindo o logon automático no Debug Manager.
Para que o Debug Manager valide o ID do usuário e o PassTicket apresentados pelo RSE, o Debug Manager deve ter permissão para avaliar o PassTicket. Isso implica que o módulo de carregamento AQEZPCM, por padrão localizado na biblioteca de carregamento FEL.SFEKAUTH, deve ser autorizado pelo APF.
Quando um Mecanismo de Depuração baseado em cliente se conecta ao Gerenciador de Depuração, ele deve apresentar um token de segurança válido para autenticação.
A maioria das comunicações entre o cliente e o host do Developer for z Systems vem pelo RSE, utilizando assim a segurança de conexão fornecida pelo z/OS Explorer.
TTLSRule RDz_Debug_Manager
{
LocalPortRange 5335
Direction Inbound
TTLSGroupActionRef grp_Production
TTLSEnvironmentActionRef RDz_Debug_Manager
}
TTLSEnvironmentAction RDz_Debug_Manager
{
HandshakeRole Server
TTLSKeyRingParms
{
Keyring dbgmgr.racf # Keyring must be owned by the Debug Manager
}
}
TTLSGroupAction grp_Production
{
TTLSEnabled On
Trace 2
}
O Integrated Debugger opcional requer que usuários tenham permissões de acesso suficiente para perfis de segurança especificados. Se o usuário não tiver a permissão necessária, a sessão de depuração não será iniciada.
O Developer for z Systems verifica o acesso aos perfis listados em Tabela 1 para determinar quais permissões de depuração foram concedidas.
Perfil FACILITY | Acesso Necessário | Resultado |
---|---|---|
AQE.AUTHDEBUG.STDPGM | READ | Usuário é capaz de depurar aplicativos de estado de problema |
AQE.AUTHDEBUG.AUTHPGM | READ | Usuário é capaz de depurar aplicativos de estado de problema e autorizados |
RDEFINE FACILITY (AQE.AUTHDEBUG.STDPGM) -
UACC(NONE) DATA('RATIONAL DEVELOPER FOR Z SYSTEMS – DEBUG PROBLEM-STATE')
PERMIT AQE.AUTHDEBUG.STDPGM CLASS(FACILITY) -
ID(RDZDEBUG) ACCESS(READ)
SETROPTS RACLIST(FACILITY) REFRESH
O Depurador Integrado opcional é capaz de depurar transações CICS. Consulte Depuração de Transação do CICS para obter mais detalhes.
O serviço SCLM Developer Toolkit oferece funcionalidade de segurança opcional para as funções Construir, Promover e Implementar.
Se a segurança for ativada para uma função pelo administrador de SCLM, as chamadas SAF serão feitas para verificar a autoridade para executar a função protegida com o ID do usuário do responsável pela chamada ou do substituto.
Consulte SCLM Developer Toolkit Administrator’s Guide (SC23-9801), para obter informações adicionais sobre as definições de segurança SCLM necessárias.
Customize e envie a tarefa FELRACF de amostra,
que tem comandos RACF de amostra
para criar as definições básicas de segurança para o Developer for z
Systems.
Customize e envie a tarefa AQERACF de amostra, que tem os comandos RACF de amostra para criar
as definições de segurança para o Integrated Debugger.
O FELRACF e AQERACF estão localizados no FEL.#CUST.JCL,
a menos que tenha especificado um local diferente ao customizar e
enviar a tarefa FEL.SFELSAMP(FELSETUP). Consulte
"Configuração de customização" no Guia de Configuração de Host do Rational
Developer for z Systems
para obter mais detalhes.
Consulte a Referência de Idioma de Comandos RACF (SA22–7687), para obter mais informações sobre comandos RACF.
Descrição |
|
Valor |
---|---|---|
Developer for z Systems qualificador de alto nível do produto |
|
|
Developer for z Systems qualificador de alto nível de customização |
|
|
dNome da Tarefa Iniciada pelo Depurador Integrado |
|
Atenção: Alguns produtos, como o FTP, precisarão ser controlados pelo programa se "WHEN PROGRAM" estiver ativo. Teste este controle de programa antes de ativá-lo em um sistema de produção. |
Um segmento OMVS do RACF ou equivalente que especifica um ID do usuário z/OS UNIX (UID) não zero válido, diretório inicial e comando shell deve ser definido para cada usuário do Developer for z Systems. Seu grupo padrão também requer um segmento OMVS com um ID de grupo.
Ao usar o Depurador Integrado, o ID do usuário sob o qual o aplicativo sendo depurado está ativo e seu grupo padrão também requer um segmento RACF OMVS válido ou equivalente.
Nos comandos de amostra do RACF a seguir, substitua os marcadores #userid, #user-identifier, #group-name e #group-identifier por valores reais:
ALTUSER #userid
OMVS(UID(#user-identifier) HOME(/u/#userid) PROGRAM(/bin/sh) NOASSIZEMAX)
Os seguintes comandos RACF de amostra criam a tarefa iniciada
DBGMGR, com o ID de usuário protegido (STCDBM) e o grupo STCGROUP designado para
ele.
ADDGROUP STCGROUP OMVS(AUTOGID)
DATA('GROUP WITH OMVS SEGMENT FOR STARTED TASKS')
ADDUSER STCDBM DFLTGRP(STCGROUP) NOPASSWORD NAME('DEBUG MANAGER')
OMVS(AUTOUID HOME(/tmp) PROGRAM(/bin/sh) )
DATA('Rational Developer for z Systems')
RDEFINE STARTED DBGMGR.* DATA('DEBUG MANAGER')
STDATA(USER(STCDBM) GROUP(STCGROUP) TRUSTED(NO))
O Depurador Integrado requer acesso UPDATE ao perfil BPX.SERVER
para criar ou excluir o ambiente de segurança para o encadeamento de depuração.
Observe que usar UID(0) para efetuar bypass desse requisito
não é suportado. Esta permissão
é necessária apenas quando o recurso Depurador Integrado opcional é
usado.
Atenção: Definir o perfil BPX.SERVER
torna o z/OS UNIX um comutador completo da segurança de nível UNIX para a segurança de nível z/OS UNIX,
que é mais segura. Esse comutador pode afetar outros aplicativos e operações z/OS
UNIX. Teste a segurança antes de ativá-la em um sistema de produção. Para obter mais informações sobre os diferentes níveis de segurança, consulte UNIX System Services
Planning (GA22-7800).
|
Servidores com autoridade para BPX.SERVER devem executar em um ambiente
limpo e controlado por programa. Este requisito implica
que todos os programas chamados pelo Debug Manager devem também ser controlados por programa.
Para as bibliotecas de carregamento do MVS, o controle de programa é gerenciado
pelo seu software de segurança.
As bibliotecas de pré-requisito adicionais a seguir devem ser tornadas controladas por programa para suportar o uso de serviços opcionais.
Esta lista não inclui conjuntos de dados específicos a um produto
com quem o Developer for z
Systems interage,
como IBM Explorer for z/OS.
A senha do cliente ou outro meio de identificação, como o certificado X.509 é usada somente para verificar a identidade mediante a conexão. Depois disso, os PassTickets são usados para manter a segurança do encadeamento. Essa etapa é necessária para que os clientes possam se conectar.
RDEFINE PTKTDATA FEKAPPL UACC(NONE) SSIGNON(KEYMASKED(key16))
APPLDATA('NO REPLAY PROTECTION – DO NOT CHANGE')
DATA('RATIONAL DEVELOPER FOR Z SYSTEMS')
RDEFINE PTKTDATA IRRPTAUTH.FEKAPPL.* UACC(NONE)
DATA('RATIONAL DEVELOPER FOR Z SYSTEMS')
PERMIT IRRPTAUTH.FEKAPPL.* CLASS(PTKTDATA) ACCESS(UPDATE) ID(STCRSE)
SETROPTS RACLIST(PTKTDATA) REFRESH
O RSE suporta o uso de um ID do aplicativo que não FEKAPPL. Remova o comentário e customize a opção "APPLID=FEKAPPL" no rdz.env para ativar isto, conforme documentado em "Definindo parâmetros extras de inicialização Java com _RSE_JAVAOPTS" no Guia de Configuração do Host do IBM Rational Developer for z Systems. As definições de classe PTKTDATA devem corresponder ao ID do aplicativo real usado pelo RSE.
Atenção: O pedido de conexão do cliente falhará se os PassTickets não estiverem
configurados corretamente.
|
O comando do operador MODIFY LOGS usa o ID do usuário da tarefa iniciada do RSED para coletar logs de host e informações de configuração. E por padrão, os arquivos de log do usuário, são criados com permissões de acesso do arquivo de segurança (apenas o proprietário tem acesso). Para ser capaz de coletar arquivos de log de usuários seguros, o ID do usuário da tarefa iniciada do RSED deve ter permissão para lê-los.
O argumento OWNER do comando do operador MODIFY LOGS resulta no ID do usuário especificado se tornar o proprietário dos dados coletados. A fim de alterar a propriedade, ao ID do usuário da tarefa inicial do RSED deve ser permitido usar o serviço CHOWN z/OS UNIX.
Observe que quando perfil do SUPERUSER.FILESYS.ACLOVERRIDE for definido, as permissões de acesso definidas no ACL (Lista de Controle de Acesso) têm precedência sobre as permissões concedidas por meio do SUPERUSER.FILESYS. O ID do usuário da tarefa iniciada do RSED precisará da permissão de acesso do READ para o perfil do SUPERUSER.FILESYS.ACLOVERRIDE para efetuar bypass das definições de ACL.
Durante o logon do cliente, o daemon RSE verifica se um usuário tem permissão para usar o aplicativo.
RDEFINE APPL FEKAPPL UACC(READ) DATA('RATIONAL DEVELOPER FOR Z SYSTEMS')
SETROPTS RACLIST(APPL) REFRESH
Servidores com autoridade para BPX.SERVER devem executar em um ambiente limpo e controlado por programa. Este requisito implica que todos os programas chamados pelo RSE também devem ser controlados por programa. Para arquivos z/OS UNIX, o controle de programa é gerenciado pelo comando extattr. Para executar esse comando, você precisa de acesso READ para o BPX.FILEATTR.PROGCTL na classe FACILITY ou ser UID(0).
$ ls -Eog /usr/lib/libIRRRacf*.so
-rwxr-xr-x aps- 2 69632 Oct 5 2007 /usr/lib/libIRRRacf.so
-rwxr-xr-x aps- 2 69632 Oct 5 2007 /usr/lib/libIRRRacf64.so
O JES Job Monitor emite todos os comandos do operador JES solicitados por um usuário por meio de um console MCS (EMCS) estendido, cujo nome é controlado com a diretiva CONSOLE_NAME, conforme documentado em "FEJJCNFG, JES Job Monitor configuration file" no Rational Developer for z Systems Host Configuration Guide.
RDEFINE OPERCMDS MVS.MCSOPER.#console UACC(READ)
DATA('RATIONAL DEVELOPER FOR Z SYSTEMS')
RDEFINE OPERCMDS JES%.** UACC(NONE)
PERMIT JES%.** CLASS(OPERCMDS) ACCESS(UPDATE) WHEN(CONSOLE(JMON)) ID(*)
SETROPTS RACLIST(OPERCMDS) REFRESH
Atenção: Definir os comandos JES com o acesso universal NONE no
software de segurança pode afetar outros aplicativos e operações. Teste a segurança antes de ativá-la em um sistema de produção.
|
A Tabela 3 e a Tabela 4 mostram os comandos do operador emitidos para JES2 e JES3 e os perfis de segurança distintos que podem ser usados para protegê-los.
Ações | Comando | Perfil OPERCMDS | Acesso Necessário |
---|---|---|---|
Suspender | $Hx(jobid) with x = {J, S or T} |
|
UPDATE |
Liberar | $Ax(jobid) with x = {J, S or T} |
|
UPDATE |
Cancelar | $Cx(jobid) with x = {J, S or T} |
|
UPDATE |
Limpar | $Cx(jobid),P with x = {J, S or T} |
|
UPDATE |
Ações | Comando | Perfil OPERCMDS | Acesso Necessário |
---|---|---|---|
Suspender | *F,J=jobid,H |
|
UPDATE |
Liberar | *F,J=jobid,R |
|
UPDATE |
Cancelar | *F,J=jobid,C |
|
UPDATE |
Limpar | *F,J=jobid,C |
|
UPDATE |
Supondo que a identidade do servidor JES Job Monitor, criando um console JMON a partir de uma sessão do TSO, seja impedida por seu software de segurança. Mesmo que o console possa ser criado, o ponto de entrada é diferente; por exemplo, JES Job Monitor versus TSO. Os comandos JES emitidos deste console falharão na verificação de segurança se sua segurança estiver configurada conforme documentado nesta publicação e o usuário não tiver autoridade aos comandos JES por outros meios.
Usuários requerem acesso READ para um dos seguintes perfis AQE.AUTHDEBUG.* listados para conseguirem usar o Integrated Debugger para depurar programas de estado de problemas. Usuários permitidos para o perfil AQE.AUTHDEBUG.AUTHPGM também são permitidos para depurar programas APF autorizados. Substitua o item temporário #apf por IDs de usuário válidos ou nomes de grupos RACF para os usuários que têm permissão para depurar programas autorizados.
RDEFINE FACILITY AQE.AUTHDEBUG.STDPGM UACC(NONE)
PERMIT AQE.AUTHDEBUG.STDPGM CLASS(FACILITY) ACCESS(READ) ID(*)
RDEFINE FACILITY AQE.AUTHDEBUG.AUTHPGM UACC(NONE)
PERMIT AQE.AUTHDEBUG.AUTHPGM CLASS(FACILITY) ACCESS(READ) ID(#apf)
SETROPTS RACLIST(FACILITY) REFRESH
O acesso READ para usuários e ALTER para programadores de sistema é suficiente para a maioria dos conjuntos de dados do Developer for z Systems. Substitua o marcador #sysprog por IDs de usuário válidos ou nomes de grupos do RACF. Além disso, solicite ao programador de sistema que instalou e configurou o produto, os nomes de conjunto de dados corretos. FEK é o qualificador padrão de alto nível usado durante instalação e FEL.#CUST é o qualificador padrão de alto nível para conjuntos de dados criados durante o processo de customização.
ADDGROUP (FEL) OWNER(IBMUSER) SUPGROUP(SYS1)
DATA('IBM Rational Developer for z Systems - HLQ STUB')
ADDSD 'FEL.*.**' UACC(READ)
DATA('IBM Rational Developer for z Systems')
PERMIT 'FEL.*.**' CLASS(DATASET) ACCESS(ALTER) ID(#sysprog)
SETROPTS GENERIC(DATASET) REFRESH
ADDSD 'FEL.#CUST.LSTRANS.*.**' UACC(UPDATE)
DATA('IBM Rational Developer for z Systems - SCLMDT')
PERMIT 'FEL.#CUST.LSTRANS.*.**' CLASS(DATASET) ACCESS(ALTER) ID(#sysprog)
SETROPTS GENERIC(DATASET) REFRESH
ADDSD 'FEL.#CUST.CRA*.**' UACC(READ)
DATA('IBM Rational Developer for z Systems - CARMA')
PERMIT 'FEL.#CUST.CRA*.**' CLASS(DATASET) ACCESS(ALTER) ID(#sysprog)
PERMIT 'FEL.#CUST.CRA*.**' CLASS(DATASET) ACCESS(UPDATE) ID(#ram-developer)
SETROPTS GENERIC(DATASET) REFRESH
Use os seguintes comandos de amostra para exibir os resultados de suas customizações relacionadas à segurança.
O Developer for z Systems usa TCP/IP para fornecer acesso ao mainframe para usuários de uma estação de trabalho sem mainframe. Ele também usa TCP/IP para comunicação entre vários componentes e outros produtos.
O Developer for z
Systems é compilado na parte
superior do IBM Explorer for z/OS . Para obter informações
relacionadas ao z/OS Explorer, consulte “Considerações sobre o TCP/IP” na Referência de Configuração
do Host (SC27-8438) do IBM Explorer for z/OS .
O Figura 7 mostra
as portas TCP/IP que podem ser usadas pelo z/OS Explorer
e pelo Developer for z
Systems.
As setas mostram qual parte não liga (lado de ponta da seta) e qual se conecta.
Se você usar a instrução PORT ou PORTRANGE no
PROFILE.TCPIP para reservar as portas usadas pelo z/OS Explorer e
o Developer for z
Systems,
observe que muitas ligações são feitas por encadeamentos ativos em um conjunto de encadeamentos RSE.
O nome da tarefa do conjunto de encadeamentos do RSE é
RSEDx, em que RSED é o nome da tarefa iniciada do RSE e
x é um número aleatório de um dígito; assim, curingas são obrigatórios
na definição.
PORT 4035 TCP RSED ; z/OS Explorer – RSE daemon
PORT 6715 TCP JMON ; z/OS Explorer – JES job monitor
PORT 5335 TCP DBGMGR ; Developer for z Systems – Integrated debugger
PORT 5336 TCP DBGMGR ; Developer for x Systems – Integrated debugger
PORTRange 8108 11 TCP RSED* ; z/OS Explorer – RSE_PORTRANGE
;PORTRange 5227 100 TCP RSED* ; Developer for z Systems - CARMA
O CARMA (Common Access Repository Manager) é usado para acessar um host baseado em Software Configuration Manager (SCM), por exemplo, o CA Endevor® SCM. Na maioria dos casos, como no daemon RSE, um servidor se conecta a uma porta e atende a pedidos de conexão. O CARMA, no entanto, usa uma abordagem diferente, uma vez que o servidor CARMA não está ativo ainda quando o cliente inicia o pedido de conexão.
Quando o cliente envia uma solicitação de conexão, o minerador CARMA, que está ativo como um encadeamento de usuários em um conjunto de encadeamentos RSE, solicitará uma porta efêmera ou localizará uma porta livre no intervalo especificado no arquivo de configuração CRASRV.properties e ligará a ele. O extrator inicia então o servidor CARMA e transmite o número da porta, para que o servidor saiba a que porta se conectar. Quando o servidor estiver conectado, o cliente poderá enviar solicitações ao servidor e receber os resultados.
A partir de uma perspectiva TCP/IP, o RSE (por meio do minerador CARMA) é o servidor que liga a porta e o servidor CARMA é o cliente que se conecta a ela.
Se usar a instrução PORT ou PORTRANGE em PROFILE.TCPIP para reservar o intervalo de porta usado pelo CARMA, observe que o minerador CARMA está ativo em um conjunto de encadeamentos RSE. O nome da tarefa do conjunto de encadeamentos do RSE é RSEDx, em que RSED é o nome da tarefa iniciada RSE e x é um número aleatório de um dígito, assim são necessários caracteres curinga na definição.
PORTRange 5227 100 RSED* ; DEVELOPER FOR Z SYSTEMS - CARMA
O CARMA (Common Access Repository Manager) é usado para acessar um host baseado em Software Configuration Manager (SCM), por exemplo, o CA Endevor® SCM. Para fazer isso, o CARMA inicia um servidor específico do usuário, que necessita de configuração adicional para impor a afinidade de pilha.
Semelhante às tarefas iniciadas do z/OS Explorer
e Developer for z
Systems, a afinidade de pilha
para um servidor CARMA está configurada com a variável _BPXK_SETIBMOPT_TRANSPORT,
que deve ser passada para AL (Ambiente de Linguagem). Isso pode ser feito ajustando o comando de inicialização no arquivo de
configuração crastart*.conf ou CRASUB*.
... PARM(&CRAPRM1. &CRAPRM2.)
... PARM(ENVAR("_BPXK_SETIBMOPT_TRANSPORT=TCPIP") / &CRAPRM1. &CRAPRM2.)
... PARM(&PORT &TIMEOUT)
... PARM(ENVAR("_BPXK_SETIBMOPT_TRANSPORT=TCPIP") / &PORT &TIMEOUT)
Ao contrário dos aplicativos tradicionais do z/OS, o Rational Developer for z Systems não é um aplicativo monolítico que pode ser identificado facilmente para Workload Manager (WLM). O Developer for z Systems consiste de vários componentes que interagem para fornecer ao cliente acesso para os serviços e dados do host. Como descrito em Entendendo o Developer for z Systems, alguns destes serviços estão ativos em espaços de endereços diferentes, resultando em classificações WLM diferentes.
O Developer for z
Systems é compilado na parte
superior do IBM Explorer for z/OS . Para obter informações
relacionadas ao z/OS Explorer, consulte “Considerações sobre WLM” na
Referência de Configuração do Host (SC27-8438) do IBM Explorer
for z/OS.
O Figura 8 mostra
uma visão geral básica dos subsistemas por meio do qual as cargas de trabalho do z/OS Explorer e
do Developer for z
Systems
são apresentadas ao WLM.
O daemon RSE (RSED), o Debug Manager (DBGMGR) e
o Monitor de Tarefas JES (JMON) são as tarefas iniciadas do z/OS Explorer
e do Developer for z
Systems
(ou tarefas em lote de longa execução), cada uma com seu espaço de endereço individual.
O daemon RSE executa o spawn de um processo-filho para cada servidor do conjunto de encadeamentos RSE
(que suporta um número variável de clientes). Cada conjunto de encadeamentos está ativo em um espaço de endereço separado (usando um iniciador z/OS UNIX, BPXAS). Porque estes são processos gerados, eles são classificados usando as regras de classificação WLM OMVS, e não as regras de classificação de tarefa iniciada.
Os clientes que estão ativos em um conjunto de encadeamentos podem criar uma infinidade de outros espaços de endereços, dependendo das ações realizadas pelos usuários. Dependendo da configuração de Developer for z Systems algumas cargas de trabalho, como o serviço TSO Commands (TSO cmd) ou CARMA, podem executar em subsistemas diferentes.
Os espaços de endereços listados em Figura 8 permanecem no sistema o tempo suficiente para serem visíveis, mas você deve estar ciente que devido à maneira como o z/OS UNIX é projetado, há também vários espaços de endereços temporários de curta duração. Estes espaços de endereços temporários estão ativos nos subsistemas OMVS.
Note que enquanto os conjuntos de encadeamento RSE usam o mesmo ID do usuário e um nome de tarefa similar como o daemon RSE, todos os espaços de endereços iniciados por um conjunto de encadeamento são de propriedade do ID do usuário do cliente solicitando a ação. O ID de usuário cliente também é usado como (parte de) o nome da tarefa para todos os espaços de endereço baseados em OMVS iniciados pelo conjunto de encadeamentos.
Espaços de endereço adicionais são criados por outros serviços que o Developer for z
Systems usa,
como z/OS UNIX REXEC (compilação USS).
O WLM usa regras de classificações para mapear o trabalho entrando no sistema para uma classe de serviço. Esta classificação é baseada nos qualificadores de trabalho. O primeiro qualificador (obrigatório) é um tipo de subsistema que recebe o pedido de trabalho. O Tabela 5 lista os tipos de subsistema que podem receber cargas de trabalho Developer for z Systems.
Tipos de subsistemas | Descrição do trabalho |
---|---|
ASCH | Os pedidos de trabalho incluem todos os programas de transação APPC planejados pelo planejador de transação da IBM-supplied APPC/MVS, ASCH. |
JES | Os pedidos de trabalho incluem todos os trabalhos que o JES2 ou JES3 iniciam. |
OMVS | Os pedidos de trabalho incluem o trabalho processado nos espaços de endereços filhos bifurcados no z/OS UNIX System Services. |
STC | Os pedidos de trabalho incluem todo o trabalho iniciado pelos comandos START e MOUNT. O STC também inclui os espaços de endereços do componente do sistema. |
A Tabela 6 lista qualificadores adicionais que podem ser usados para designar uma carga de trabalho a uma classe de serviço específica. Consulte MVS Planejamento: Gerenciamento de Carga de Trabalho (SA22-7602) para obter detalhes adicionais sobre os qualificadores de trabalho listados.
ASCH | JES | OMVS | STC | ||
---|---|---|---|---|---|
AI | Dados da Conta | x | x | x | x |
LU | Nome LU (*) | ||||
PF | Perform (*) | x | x | ||
PRI | Prioridade | x | |||
SE | Nome de Ambiente de Planejamento | x | |||
SSC | Nome de Coleta de Subsistema | x | |||
SI | Instância de Subsistema (*) | x | |||
SPM | Parâmetro de Subsistema | x | |||
PX | Nome Sysplex | x | x | x | x |
SY | Nome do Sistema (*) | x | x | x | |
TC | Transação/Classe de Trabalho (*) | x | x | ||
TN | Transação/Nome do Trabalho (*) | x | x | x | x |
UI | ID do usuário (*) | x | x | x | x |
Como documentado em Classificação de Carga de Trabalho, o Developer for z Systems cria tipos diferentes de cargas de trabalho no seu sistema. Estas diferentes tarefas comunicam-se entre si, o que implica que o tempo decorrido real tornar-se importante para evitar problemas de tempo limite para as conexões entre as tarefas. Como resultado, Developer for z Systems é recomendável que as tarefas sejam colocadas em classes de serviço de alto desempenho ou em classes de serviço de desempenho moderado com uma alta prioridade.
Uma revisão, e possivelmente uma atualização, dos seus objetivos WLM atuais é, por essa razão, aconselhado. Isto é especialmente verdadeiro para empresas tradicionais MVS novas no que diz respeito às cargas de trabalho OMVS de tempo crítico.
O Tabela 7 lista os espaços de endereços usados pelo z/OS Explorer e pelo Developer for z Systems. O z/OS UNIX substituirá "x" na coluna "Nome da Tarefa" por um número de 1 dígito aleatório.
Descrição | Nome da tarefa | Carga de trabalho |
---|---|---|
Debug Manager | DBGMGR | STC |
Monitor de Tarefas JES (z/OS Explorer) | JMON | STC |
Daemon RSE (z/OS Explorer) | RSED | STC |
Conjunto de encadeamentos RSE (z/OS Explorer) | RSEDx | OMVS |
![]() ![]() |
![]() ![]() |
![]() ![]() |
![]() ![]() |
<userid>x | OMVS |
Serviço de Comandos TSO (APPC) (z/OS Explorer) | FEKFRSRV | ASCH |
CARMA (batch) | CRA<port> | JES |
CARMA (crastart) | <userid>x | OMVS |
CARMA (ISPF Client Gateway) | <userid> e <userid>x | OMVS |
Build MVS (tarefa em lote) | * | JES |
Build z/OS UNIX (comandos do shell) | <userid>x | OMVS |
Shell do z/OS UNIX | <userid> | OMVS |
Todas as tarefas iniciadas do Developer for z
Systems
estão atendendo a solicitações do cliente em tempo real.
Descrição | Nome da tarefa | Carga de trabalho |
---|---|---|
Debug Manager | DBGMGR | STC |
O Debug Manager fornece serviços para conectar programas que estão sendo depurados para clientes que os estão depurando. É recomendável especificar um objetivo de velocidade de um período, e com alta prioridade, porque a tarefa não relata transações individuais para o WLM. O uso de recursos depende fortemente das ações do usuário, e, por essa razão, vai variar, mas é esperado ser o mínimo.
Todas as cargas de trabalho usam o ID do usuário cliente como base para o
nome de espaço de endereço. (O z/OS UNIX substituirá "x" na coluna "Nome da Tarefa"
por um número de 1 dígito aleatório.
Todas as cargas de trabalho terminarão na mesma classe de serviço, devido a uma convenção comum de nomenclatura de espaço de endereço. É recomendável especificar um objetivo de período múltiplo para esta classe de serviço. Os primeiros períodos deveriam ser de objetivos de tempo de resposta percentil e de alto desempenho, enquanto que o último período deveria possuir um objetivo de velocidade de desempenho moderado. Algumas cargas de trabalho, como a ISPF Client Gateway, relatarão transações individuais para o WLM, enquanto outras não.
Descrição | Nome da tarefa | Carga de trabalho |
---|---|---|
![]() ![]() |
<userid>x | OMVS |
CARMA (crastart) | <userid>x | OMVS |
CARMA (ISPF Client Gateway) | <userid> e <userid>x | OMVS |
Build z/OS UNIX (comandos do shell) | <userid>x | OMVS |
Shell do z/OS UNIX | <userid> | OMVS |
O Gateway ISPF Anterior
é um serviço ISPF chamado pelo Developer for z
Systems para
executar comandos TSO e ISPF não interativos. Isso inclui comandos
explícitos emitidos pelo cliente, bem como comandos implícitos emitidos
pelo componente SCLMDT do Developer for z
Systems.
O uso de recursos depende fortemente das ações do usuário, e, por essa razão, vai variar, mas é esperado ser o mínimo.
O CARMA é um servidor Developer for z Systems opcional usado para interagir com Software Configuration Managers (SCMs), baseados em host, tais como o CA Endevor® SCM. O Developer for z Systems permite diferentes métodos de inicialização para um servidor CARMA, alguns dos quais transformam-se em uma carga de trabalho OMVS. O uso de recursos depende fortemente das ações do usuário, e, por essa razão, vai variar, mas é esperado ser o mínimo.
Quando um cliente inicia uma construção para um projeto z/OS UNIX, o z/OS UNIX REXEC (ou SSH) iniciará uma tarefa que executa um número de comandos shell do z/OS UNIX para executar a construção. O uso dos recursos depende fortemente das ações do usuário e, por essa razão, vai variar, mas é esperado ser de moderado a substancial, dependendo do tamanho do projeto.
Esta carga de trabalho processa os comandos shell do z/OS UNIX que são emitidos pelo cliente. O uso de recursos depende fortemente das ações do usuário, e, por essa razão, vai variar, mas é esperado ser o mínimo.
Os processos em lote do JES gerenciado são usados de várias maneiras pelo Developer for z Systems. O uso mais comum é para construções MVS, onde uma tarefa é submetida e monitorada para determinar quando ela termina. Mas o Developer for z Systems também poderia iniciar um servidor CARMA em lote e comunicar-se com ele usando TCP/IP.
Descrição | Nome da tarefa | Carga de trabalho |
---|---|---|
CARMA (batch) | CRA<port> | JES |
Build MVS (tarefa em lote) | * | JES |
CARMA é um servidor do Developer for z Systems que é usado para interagir com o Software Configuration Managers (SCMs) baseado em host, como CA Endevor® SCM. O Developer for z Systems permite diferentes métodos de inicialização para um servidor CARMA, alguns dos quais transformam-se em uma carga de trabalho JES. É recomendável especificar um objetivo de velocidade de um período, e com alta prioridade, porque a tarefa não relata transações individuais para o WLM. O uso de recursos depende fortemente das ações do usuário, e, por essa razão, vai variar, mas é esperado ser o mínimo.
O Developer for z
Systems é compilado
na parte superior do IBM Explorer for z/OS . Para obter informações
relacionadas ao z/OS Explorer, consulte “Considerações sobre direcionamento ao cliente”
na Referência de Configuração do Host (SC27-8438) do IBM Explorer for
z/OS.
Os clientes Developer for z
Systems
podem puxar os arquivos de configuração do cliente e informações de atualização do produto
a partir do host quando eles se conectam, assegurando que todos os clientes tenham configurações
comuns e estejam atualizados.
O administrador de cliente pode criar diversos conjuntos de configuração de
cliente e diversos cenários de atualização de cliente para ajustar às necessidades de diferentes
grupos de desenvolvedores. Isso permite que os usuários
recebam uma configuração customizada, com base em critérios como associação de um grupo
LDAP ou permissão para um perfil de segurança.
Os projetos do z/OS podem ser definidos individualmente por meio da perspectiva Projetos do z/OS no cliente, ou podem ser definidos centralmente no host e propagados para o cliente em uma base por usuário individual. Esses "projetos baseados em host" se parecem e funcionam exatamente como projetos definidos no cliente, exceto que sua estrutura, seus membros e suas propriedades não podem ser modificados pelo cliente e só podem ser acessados quando conectados ao host.
Um gerente de projeto de desenvolvimento define um projeto e designa desenvolvedores individuais a ele.
Consulte o Developer for z Systems IBM Knowledge Center para obter detalhes sobre como o gerenciador do projeto de desenvolvimento pode executar as tarefas designadas a ele.
Os projetos do z/OS podem ser definidos individualmente por meio da perspectiva Projetos do z/OS no cliente, ou podem ser definidos centralmente no host e propagados para o cliente em uma base por usuário individual. Esses "projetos baseados em host" se parecem e funcionam exatamente como os projetos definidos no cliente, exceto que sua estrutura, seus membros e suas propriedades não podem ser modificados pelo cliente e só podem ser acessados quando conectados ao host.
O diretório base para projetos baseados em host é definido (pelo administrador do cliente) em /var/rdz/pushtoclient/keymapping.xml, e é /var/rdz/pushtoclient/projects por padrão.
Os projetos baseados em host também são elegíveis para participar
na configuração de grupos múltiplos. Essa
elegibilidade significa que os projetos baseados em host podem ser definidos também em /var/rdz/pushtoclient/grouping/<devgroup>/projects/.
Quando uma área de trabalho está ligada a um grupo específico, e há definições de projeto para um usuário nesse grupo e no grupo padrão, o usuário recebe as definições do projeto dos grupos padrão e específico.
Este capítulo agrupa referências a componentes do Developer for z
Systems
que podem funcionar em regiões CICSTS.
Para obter mais informações sobre suporte à linguagem Bidirecional, consulte a seção "suporte à linguagem bidirecional do CICS" no capítulo "Outras tarefas de customização" do Guia de Configuração do Host (SC27-8577) do Rational Developer for z Systems.
Para obter mais informações sobre mensagens de diagnósticos IRZ para o Enterprise Service Tools, consulte a seção "Mensagens de Diagnósticos IRZ para Enterprise Service Tools" no capítulo "Outras tarefas de customização" do Guia de Configuração do Host (SC27-8577) do Rational Developer for z Systems.
Para obter informações adicionais sobre depuração de transação do CICS,
veja a seção "Atualizações do CICS do Depurador Integrado" no capítulo "(Opcional) Depurador
Integrado" do IBM
Rational Developer for z Systems: Guia de
configuração de host (S517-9094).
Essa seção é fornecida para ajudá-lo com alguns problemas comuns que podem ser encontrados durante a configuração da Segurança da Camada de Transporte Transparente do Aplicativo (AT-TLS) ou durante a verificação ou modificação de uma configuração existente.
O protocolo do Transport Layer Security (TLS) definido em RFC 2246 fornece privacidade de comunicações pela Internet. Semelhante ao seu predecessor Secure Socket Layer (SSL), o protocolo permite que aplicativos cliente e servidor se comuniquem de uma forma projetada para evitar escuta de terceiros, violação e falsificação de mensagens. O Application Transparent Transport Layer Security (AT-TLS) consolida a implementação de TLS para aplicativos baseados em z/OS em um local, permitindo que todos os aplicativos suportem a criptografia baseada em TLS sem o conhecimento do protocolo TLS. Veja o Communications Server IP Configuration Guide (SC31-8775) para obter informações adicionais sobre AT-TLS.
O Depurador Integrado do Developer for z Systems conta com o AT-TLS para comunicação criptografada com o cliente, porque os dados para a sessão de depuração não fluem pelo mesmo canal que outras comunicações do cliente com o host do Developer for z Systems.
As ações necessárias para configurar o AT-TLS variarão de acordo com o site, dependendo das necessidades exatas e dependendo do que já está disponível no site.
Algumas tarefas descritas nas seções a seguir esperam que você esteja ativo no z/OS UNIX. Isso pode ser feito emitindo o comando do TSO OMVS. Use o comando oedit para editar arquivos no z/OS UNIX. Use o comando exit para retornar ao TSO.
A documentação do TCP/IP recomenda escrever as mensagens do Policy Agent no syslog do z/OS UNIX em vez de usar o arquivo de log padrão. AT-TLS sempre gravará as mensagens no syslog do z/OS UNIX.
Para fazer isso, o daemon do syslog do z/OS UNIX, syslogd, deve estar configurado e ativo. Também será necessário um mecanismo para controlar o tamanho dos arquivos de log criados pelo syslogd.
syslog 514/udp
# /etc/syslog.conf - control output of syslogd
# 1. all files with will be printed to /tmp/syslog.auth.log
auth.* /tmp/syslog.auth.log
# 2. all error messages printed to /tmp/syslog.error.log
*.err /tmp/syslog.error.log
# 3. all debug and above messages printed to /tmp/syslog.debug.log
*.debug /tmp/syslog.debug.log
# Os nomes de arquivos devem existir antes de o daemon syslog ser iniciado,
# a menos que a opção de inicialização -c seja usada
# Inicie o daemon SYSLOGD para a criação de log
# (limpe os logs antigos)
sed -n '/^#/!s/.* \(.*\)/\1/p' /etc/syslog.conf | xargs -i rm {}
# (crie novos logs e inclua o ID do usuário do emissor da mensagem)
_BPX_JOBNAME='SYSLOGD' /usr/sbin/syslogd -cuf /etc/syslog.conf &
sleep 5
O suporte do AT-TLS é ativado pelo parâmetro TTLS na instrução TCPCONFIG no conjunto de dados PROFILE.TCPIP. AT-TLS é gerenciado pelo Policy Agent, que deve estar ativo para permitir impingir a política AT-TLS. Como o Policy Agent deve aguardar que o TCP/IP esteja ativo, a instrução AUTOSTART em PROFILE.TCPIP é um bom local para acionar a inicialização deste servidor.
TCPCONFIG TTLS ; Requerido para AT-TLS
AUTOLOG
PAGENT ; POLICY AGENT, requerido para AT-TLS
ENDAUTOLOG
//PAGENT PROC PRM='-L SYSLOGD' * '' or '-L SYSLOGD'
//*
//* TCP/IP POLICY AGENT
//* (PARM) (envar)
//* default cfg file: /etc/pagent.conf (-C) (PAGENT_CONFIG_FILE)
//* default log file: /tmp/pagent.log (-L) (PAGENT_LOG_FILE)
//* default log size: 300,3 (3x 300KB files) (PAGENT_LOG_FILE_CONTROL)
//*
//PAGENT EXEC PGM=PAGENT,REGION=0M,TIME=NOLIMIT,
// PARM='ENVAR("TZ=EST5DST")/&PRM'
//SYSPRINT DD SYSOUT=*
//SYSOUT DD SYSOUT=*
//*
#
# Informações de configuração do TCP/IP Policy Agent.
#
TTLSConfig /etc/pagent.ttls.conf
# Especifica o caminho de um arquivo de políticas TTLS que possui instruções específicas de
# pilha.
#
#TcpImage TCPIP /etc/pagent.conf
# Se nenhuma instrução TcpImage for especificada, todas as políticas serão instaladas
# à pilha TCP/IP padrão.
#
#LogLevel 31
# A soma dos valores a seguir que representam os níveis de log:
# LOGL_SYSERR 1
# LOGL_OBJERR 2
# LOGL_PROTERR 4
# LOGL_WARNING 8
# LOGL_EVENT 16
# LOGL_ACTION 32
# LOGL_INFO 64
# LOGL_ACNTING 128
# LOGL_TRACE 256
# Nível de Log 31 é o nível de log padrão.
#
#Codepage IBM-1047
# Especifique a página de códigos EBCDIC a ser usada para a leitura de todos os arquivos de
# configuração e arquivos de definição de política. IBM-1047 é a página de códigos padrão.
Esse arquivo de configuração de amostra especifica onde o Policy Agent pode localizar a política de TTLS. Ele usa os valores padrão do Policy Agent para outras instruções.
Uma política TTLS descreve as regras desejadas de AT-TLS. Como definido no arquivo de configuração do Policy Agent, a política do TTLS está localizada em /etc/pagent.ttls.conf. As definições necessárias no software de segurança são discutidas posteriormente.
##
## Informações de configuração do TCP/IP Policy Agent AT-TLS.
##
##-----------------------------
TTLSRule RDz_Debug_Manager
{
LocalPortRange 5335
Direction Inbound
TTLSGroupActionRef grp_Production
TTLSEnvironmentActionRef act_RDz_Debug_Manager
}
##-----------------------------
TTLSEnvironmentAction act_RDz_Debug_Manager
{
HandshakeRole Server
TTLSKeyRingParms
{
Keyring dbgmgr.racf # Keyring must be owned by the Debug Manager
}
TTLSEnvironmentAdvancedParms
{
## TLSV1.2 apenas para z/OS 2.1 e superior
# TLSV1.2 On # TLSv1 & TLSv1.1 are on by default
SSLV3 Off # disable SSLv3
}
}
##-----------------------------
TTLSRule RDz_Debug_Probe-Client
{
RemotePortRange 8001
Direção Saída
TTLSGroupActionRef grp_Production
TTLSEnvironmentActionRef act_RDz_Debug_Probe-Client
}
##-----------------------------
TTLSEnvironmentAction act_RDz_Debug_Probe-Client
{
HandshakeRole Cliente
TTLSKeyRingParms
{
Keyring *AUTH*/* # conjunto de chaves virtuais que possuem certificados de CA
}
TTLSEnvironmentAdvancedParms
{
## TLSV1.2 apenas para z/OS 2.1 e superior
# TLSV1.2 On # TLSv1 & TLSv1.1 are on by default
}
}
##-----------------------------
TTLSGroupAction grp_Production
{
TTLSEnabled On
## TLSv1.2zOS1.13 apenas para z/OS 1.13
TTLSGroupAdvancedParmsRef TLSv1.2zOS1.13
Trace 3 # Registrar Erros para syslogd & IP joblog
#Trace 254 # Registrar tudo para syslogd
}
##-----------------------------
TTLSGroupAdvancedParms TLSv1.2zOS1.13
{
Envfile /etc/pagent.ttls.TLS1.2zOS1.13.env
}
Uma política TTLS permite um intervalo amplo de filtros para especificar quando uma regra é aplicada.
O Debug Manager é um servidor que recebe conexões de entrada do Mecanismo de Depuração na porta 5335. Essas informações são capturadas na regra RDz_Debug_Manager.
Como a comunicação criptografada requer o uso de um certificado do servidor, você especifica que o Policy Manager deve usar os certificados no conjunto de chaves dbgmgr.racf, que pertence ao ID do usuário da tarefa iniciada do Debug Manager. Por padrão, o suporte de TLS v1.2 está desativado, então essa política o ativa explicitamente. O SSLv3.0 é desativado explicitamente devido a vulnerabilidades conhecidas nesse protocolo.
Quando a Análise de Depuração é iniciada com a opção Ambiente de Linguagem (LE) TEST(,,,TCPIP&&ipaddress%8001:*), é indicado que não se use o Debug Manager, mas entre em contato diretamente com o cliente do Developer for z Systems na porta 8001. Isso implica, de uma perspectiva do TCP/IP, que a Análise de Depuração baseada no host é um cliente contatando um servidor(a UI de Depuração) no cliente do Developer for z Systems. Essas informações são capturadas na regra RDz_Debug_Probe-Client.
Com o host sendo um cliente TCP/IP, o Policy Manager precisará de uma maneira de validar o certificado do servidor apresentado pela UI de Depuração. Em vez de usar um conjunto de chaves uniformemente nomeado para todos os usuários que podem requerer uma sessão de depuração criptografada, estamos usando o conjunto de chaves virtual CERTAUTH do RACF (*AUTH*/*). Esse conjunto de chaves virtuais contém os certificados públicos das Autoridades de Certificação (CAs) e podem ser usados se a UI de Depuração apresentar um certificado do servidor assinado por uma das CAs confiáveis.
Observe que, para políticas mais complexas, você deve usar o IBM Configuration Assistant para z/OS Communications Server. Essa é uma ferramenta baseada em GUI que fornece uma interface guiada para a configuração das funções de rede baseadas em políticas de TCP/IP e está disponível como uma tarefa em IBM z/OS Management Facility (z/OSMF), e como um aplicativo de estação de trabalho independente.
O suporte de TLS v1.2 tornou-se disponível no z/OS 2.1, e está desativado por padrão. Essa política mostra o comando (TLSV1.2 On) para ativá-lo explicitamente, mas a linha está comentada visto que o sistema de destino está usando o z/OS 1.13.
#
# Inclua o suporte de TLSv1.2 para AT-TLS
# requer z/OS 1.13 com OA39422 e PM62905
#
GSK_RENEGOTIATION=ALL
GSK_PROTOCOL_TLSV1_2=ON
Há várias atualizações necessárias para sua configuração de segurança para AT-TLS funcionar apropriadamente. Esta seção possui os comandos RACF de amostra para executar a configuração necessária.
# defina o ID do usuário da tarefa iniciada
# a permissão BPX.DAEMON é necessária para o UID não zero
ADDUSER PAGENT DFLTGRP(SYS1) OMVS(UID(0) SHARED HOME('/')) +
NAME('TCP/IP POLICY AGENT') NOPASSWORD
# defina a tarefa iniciada
RDEFINE STARTED PAGENT.* STDATA(USER(PAGENT) GROUP(SYS1)) +
DATA('TCP/IP POLICY AGENT')
# atualize para tornar as mudanças visíveis
SETROPTS RACLIST(STARTED) REFRESH
# restrinja a inicialização do policy agent
RDEFINE OPERCMDS MVS.SERVMGR.PAGENT UACC(NONE) +
DATA('restrict startup of policy agent')
PERMIT MVS.SERVMGR.PAGENT CLASS(OPERCMDS) ACCESS(CONTROL) ID(PAGENT)
# atualize para tornar as mudanças visíveis
SETROPTS RACLIST(OPERCMDS) REFRESH
# bloqueie o acesso de pilha entre a pilha e a disponibilidade de AT-TLS
# SETROPTS GENERIC(SERVAUTH)
# SETROPTS CLASSACT(SERVAUTH) RACLIST(FACILITY)
RDEFINE SERVAUTH EZB.INITSTACK.** UACC(NONE)
# Policy Agent
PERMIT EZB.INITSTACK.** CLASS(SERVAUTH) ACCESS(READ) ID(PAGENT)
# OMPROUTE daemon
PERMIT EZB.INITSTACK.** CLASS(SERVAUTH) ACCESS(READ) ID(OMPROUTE)
# agente e sub-agentes SNMP
PERMIT EZB.INITSTACK.** CLASS(SERVAUTH) ACCESS(READ) ID(OSNMPD)
PERMIT EZB.INITSTACK.** CLASS(SERVAUTH) ACCESS(READ) ID(IOBSNMP)
# daemon NAME
PERMIT EZB.INITSTACK.** CLASS(SERVAUTH) ACCESS(READ) ID(NAMED)
# atualize para tornar as mudanças visíveis
SETROPTS RACLIST(SERVAUTH) REFRESH
# restrinja o acesso ao comando pasearch
# RDEFINE SERVAUTH EZB.PAGENT.** UACC(NONE) +
# DATA('restrict access to pasearch command')
# PERMIT EZB.PAGENT.** CLASS(SERVAUTH) ACCESS(READ) ID(tcpadmin)
# atualize para tornar as mudanças visíveis
# SETROPTS RACLIST(SERVAUTH) REFRESH
# permita que o Debug Manager acesse os certificados
#RDEFINE FACILITY IRR.DIGTCERT.LIST UACC(NONE)
#RDEFINE FACILITY IRR.DIGTCERT.LISTRING UACC(NONE)
PERMIT IRR.DIGTCERT.LIST CLASS(FACILITY) ACCESS(READ) ID(stcdbm)
PERMIT IRR.DIGTCERT.LISTRING CLASS(FACILITY) ACCESS(READ) ID(stcdbm)
# atualize para tornar as mudanças visíveis
SETROPTS RACLIST(FACILITY) REFRESH
# crie certificado autoassinado
RACDCERT ID(stcdbm) GENCERT SUBJECTSDN(CN('RDz Debug Manager') +
OU('RTP labs') O('IBM') L('Raleigh') SP('NC') C('US')) +
NOTAFTER(DATE(2015-12-31)) KEYUSAGE(HANDSHAKE) WITHLABEL('dbgmgr')
# (opcional) etapas adicionais necessárias para usar um certificado assinado
# 1. crie uma solicitação de assinatura para o certificado autoassinado
RACDCERT ID(stcdbm) GENREQ (LABEL('dbgmgr')) DSN(dsn)
# 2. envie a solicitação de assinatura para a CA de sua escolha
# 3. verifique se as credenciais de CA (também um certificado) já são conhecidas
RACDCERT CERTAUTH LIST
# 4. marque o certificado de CA como confiável
RACDCERT CERTAUTH ALTER(LABEL('CA cert')) TRUST
# ou inclua o certificado de CA no banco de dados
RACDCERT CERTAUTH ADD(dsn) WITHLABEL('CA cert') TRUST
# 5. inclua o certificado assinado no banco de dados;
# isso substituirá o autoassinado
RACDCERT ID(stcdbm) ADD(dsn) WTIHLABEL('dbgmgr') TRUST
# NÃO exclua o certificado autoassinado antes de substituí-lo.
# Se você fizer isso, perderá a chave privada fornecida com o certificado,
# o que torna o certificado inútil.
# crie o conjunto de chaves
RACDCERT ID(stcdbm) ADDRING(dbgmgr.racf)
# inclua o certificado ao conjunto de chaves
RACDCERT ID(stcbm) CONNECT(LABEL('dbgmgr') +
RING(dbgmgr.racf) USAGE(PERSONAL) DEFAULT)
# etapa adicional necessária para usar um certificado assinado
# 6. inclua o certificado de autoridade de certificação ao conjunto de chaves
RACDCERT ID(stcdbm) CONNECT(CERTAUTH LABEL('CA cert') +
RING(dbgmgr.racf))
# atualize para tornar as mudanças visíveis
SETROPTS RACLIST(DIGTCERT) REFRESH
# verifique se as credenciais de CA (também um certificado) já são conhecidas
RACDCERT CERTAUTH LIST
# marque o certificado de CA como confiável
RACDCERT CERTAUTH ALTER(LABEL('CA cert')) TRUST
# ou inclua o certificado de CA no banco de dados
RACDCERT CERTAUTH ADD(dsn) WITHLABEL('CA cert') TRUST
# atualize para tornar as mudanças visíveis
SETROPTS RACLIST(DIGTCERT) REFRESH
# verifique a configuração da tarefa iniciada
LISTGRP SYS1 OMVS
LISTUSER PAGENT OMVS
RLIST STARTED PAGENT.* ALL STDATA
# verifique a permissão de inicialização do Policy Agent
RLIST OPERCMDS MVS.SERVMGR.PAGENT ALL
# verifique a proteção initstack
RLIST SERVAUTH EZB.INITSTACK.** ALL
# verifique a proteção pasearch
RLIST SERVAUTH EZB.PAGENT.** ALL
# verifique a configuração do certificado
RACDCERT CERTAUTH LIST(LABEL('CA cert'))
RACDCERT ID(stcdbm) LIST(LABEL('dbgmgr'))
RACDCERT ID(stcdbm) LISTRING(dbgmgr.racf)
TCPCONFIG TTLS
V TCPIP,,OBEY,TCPIP.TCPPARMS(OBEY)
EZZ4249I stackname INSTALLED TTLS POLICY HAS NO RULES
S PAGENT
EZD1586I PAGENT HAS INSTALLED ALL LOCAL POLICIES FOR stackname
P DBGMGR
S DBBMGR
As publicações a seguir são referenciadas neste documento:
Título da publicação | Número da ordem | Referência | Web site de referência |
---|---|---|---|
Diretório do Programa para IBM Rational Developer for z Systems | GI11-8298 | Developer for z Systems | http://www-01.ibm.com/support/docview.wss?uid=swg27038517 |
Program Directory for IBM Rational Developer for z Systems Host Utilities | GI13-2864 | Developer for z Systems | http://www-01.ibm.com/support/docview.wss?uid=swg27038517 |
Guia de Configuração de Host do IBM Rational Developer for z Systems | SC27-8577 | Developer for z Systems | http://www-01.ibm.com/support/docview.wss?uid=swg27038517 |
IBM Rational Developer for z SystemsReferência de Configuração do Host | SC27-8578 | Developer for z Systems | http://www-01.ibm.com/support/docview.wss?uid=swg27038517 |
IBM Rational Developer for z Systems Common Access Repository Manager Developer's Guide | SC23-7660 | Developer for z Systems | http://www-01.ibm.com/support/docview.wss?uid=swg27038517 |
SCLM Developer Toolkit: Guia do Administrador | SC23-9801 | Developer for z Systems | http://www-01.ibm.com/support/docview.wss?uid=swg27038517 |
IBM Explorer for z/OS Host Configuration Guide | SC27-8437 | z/OS Explorer | |
Referência de Configuração de Host do IBM Explorer for z/OS | SC27-8438 | z/OS Explorer | |
![]() ![]() |
![]() ![]() |
![]() ![]() |
![]() ![]() |
Communications Server IP Configuration Guide | SC31-8775 | z/OS 1.13 | http://www-03.ibm.com/servers/eserver/zseries/zos/bkserv/ |
Communications Server IP Configuration Reference | SC31-8776 | z/OS 1.13 | http://www-03.ibm.com/servers/eserver/zseries/zos/bkserv/ |
MVS Initialization and Tuning Guide | SA22-7591 | z/OS 1.13 | http://www-03.ibm.com/servers/eserver/zseries/zos/bkserv/ |
MVS Initialization and Tuning Reference | SA22-7592 | z/OS 1.13 | http://www-03.ibm.com/servers/eserver/zseries/zos/bkserv/ |
MVS JCL Reference | SA22-7597 | z/OS 1.13 | http://www-03.ibm.com/servers/eserver/zseries/zos/bkserv/ |
MVS Planning Workload Management | SA22-7602 | z/OS 1.13 | http://www-03.ibm.com/servers/eserver/zseries/zos/bkserv/ |
MVS System Commands | SA22-7627 | z/OS 1.13 | http://www-03.ibm.com/servers/eserver/zseries/zos/bkserv/ |
Security Server RACF Command Language Reference | SA22-7687 | z/OS 1.13 | http://www-03.ibm.com/servers/eserver/zseries/zos/bkserv/ |
Security Server RACF Security Administrator's Guide | SA22-7683 | z/OS 1.13 | http://www-03.ibm.com/servers/eserver/zseries/zos/bkserv/ |
UNIX System Services Command Reference | SA22-7802 | z/OS 1.13 | http://www-03.ibm.com/servers/eserver/zseries/zos/bkserv/ |
UNIX System Services Planning | GA22-7800 | z/OS 1.13 | http://www-03.ibm.com/servers/eserver/zseries/zos/bkserv/ |
UNIX System Services User's Guide | SA22-7801 | z/OS 1.13 | http://www-03.ibm.com/servers/eserver/zseries/zos/bkserv/ |
Utilizando os Serviços de Sistemas REXX e z/OS UNIX | SA22-7806 | z/OS 1.13 | http://www-03.ibm.com/servers/eserver/zseries/zos/bkserv/ |
Descrição | Web site de referência |
---|---|
Developer for z Systems IBM Knowledge Center | http://www-01.ibm.com/support/knowledgecenter/SSQ2R2/rdz_welcome.html |
Biblioteca do Developer for z Systems | http://www-01.ibm.com/support/docview.wss?uid=swg27038517 |
Developer for z Systems: Página Inicial | http://www-03.ibm.com/software/products/en/developerforsystemz/ |
Serviço recomendado do Developer for z Systems | http://www-01.ibm.com/support/docview.wss?rs=2294&context=SS2QJ2&uid=swg27006335 |
Solicitação de aprimoramento de Developer for z Systems | https://www.ibm.com/developerworks/support/rational/rfe/ |
Download do Apache Ant | http://ant.apache.org/ |
Título da publicação | Número da ordem | Referência | Website de referência |
---|---|---|---|
ABCs do z/OS System Programming Volume 9 (z/OS UNIX) | SG24-6989 | Redbook | http://www.redbooks.ibm.com/ |
Guia do Programador de Sistema’ para: Workload Manager | SG24-6472 | Redbook | http://www.redbooks.ibm.com/ |
Implementação do TCPIP Volume 1: Funções Base, Conectividade e Roteamento | SG24-7532 | Redbook | http://www.redbooks.ibm.com/ |
TCPIP Implementation Volume 3: High Availability, Scalability, and Performance | SG24-7534 | Redbook | http://www.redbooks.ibm.com/ |
TCP/IP Implementation Volume 4: Security and Policy-Based Networking | SG24-7535 | Redbook | http://www.redbooks.ibm.com/ |
Tivoli Directory Server para z/OS | SG24-7849 | Redbook | http://www.redbooks.ibm.com/ |
Estas informações foram desenvolvidas para produtos e serviços oferecidos nos EUA. Este material pode estar disponível na IBM em ouros idiomas. No entanto, pode ser necessário possuir uma cópia do produto ou da versão do produto nesse idioma a fim de acessá-lo.
É possível que a IBM não ofereça os produtos, serviços ou recursos discutidos nesta publicação em outros países. Consulte um representante IBM local para obter informações sobre produtos e serviços disponíveis atualmente em sua área. Qualquer referência a produtos, programas ou serviços IBM não significa que apenas produtos, programas ou serviços IBM possam ser utilizados. Qualquer produto, programa ou serviço funcionalmente equivalente, que não infrinja nenhum direito de propriedade intelectual da IBM poderá ser utilizado em substituição a este produto, programa ou serviço. Entretanto, a avaliação e verificação da operação de qualquer produto, programa ou serviço não IBM são de responsabilidade do cliente.
Gerência de Relações Comerciais e Industriais da IBM Brasil
IBM Brasil - Centro de Traduções
Botafogo
Rio de Janeiro, RJ
BR
Intellectual Property Licensing
Legal and Intellectual Property Law
2-31 Roppongi 3-chome, Minato-ku
19-21, Nihonbashi-Hakozakicho, Chuo-ku
Tokyo 103-8510, Japan
A INTERNATIONAL BUSINESS MACHINES CORPORATION FORNECE ESTA PUBLICAÇÃO "NO ESTADO EM QUE SE ENCONTRA", SEM GARANTIA DE NENHUM TIPO, SEJA EXPRESSA OU IMPLÍCITA, INCLUINDO, MAS A ELAS NÃO SE LIMITANDO, AS GARANTIAS IMPLÍCITAS DE NÃO INFRAÇÃO, COMERCIALIZAÇÃO OU ADEQUAÇÃO A UM DETERMINADO PROPÓSITO. Alguns países não permitem a exclusão de garantias expressas ou implícitas em certas transações; portanto, essa disposição pode não se aplicar ao Cliente.
Essas informações podem conter imprecisões técnicas ou erros tipográficos. Periodicamente, são feitas alterações nas informações aqui contidas; tais alterações serão incorporadas em futuras edições desta publicação. A IBM pode, a qualquer momento, aperfeiçoar e/ou alterar os produtos e/ou programas descritos nesta publicação, sem aviso prévio.
Quaisquer referências nestas informações a websites não IBM são fornecidas apenas por conveniência e não servem de maneira alguma como um endosso a esses websites. Os materiais contidos nesses websites não fazem parte dos materiais desse produto IBM e a utilização desses websites é de inteira responsabilidade do Cliente.
A IBM pode usar ou distribuir todas as informações fornecidas da forma que julgar apropriada, sem incorrer em qualquer obrigação para o Cliente.
Gerência de Relações Comerciais e Industriais da IBM Brasil
IBM Brasil - Centro de Traduções
Botafogo
Rio de Janeiro, RJ
BR
Estas informações podem estar disponíveis, sujeitas a termos e condições apropriados, incluindo, em alguns casos, o pagamento de uma taxa.
O programa licenciado descrito nesta publicação e todo o material licenciado disponível são fornecidos pela IBM sob os termos do Contrato com o Cliente IBM, do Contrato Internacional de Licença do Programa IBM ou de qualquer outro contrato equivalente.
Os exemplos de clientes e dados de desempenho citados são apresentados com propósitos meramente ilustrativos. Os resultados de desempenho reais podem variar, dependendo de configurações e condições operacionais específicas.
As informações relativas a produtos não IBM foram obtidas junto aos fornecedores dos respectivos produtos, de seus anúncios publicados ou de outras fontes disponíveis publicamente. A IBM não testou esses produtos e não pode confirmar a precisão de desempenho, compatibilidade ou qualquer outra solicitação relacionada a produtos não IBM. Dúvidas sobre os recursos de produtos não IBM deverão ser direcionadas para os fornecedores desses produtos.
As instruções relacionadas aos objetivos e direções futuras da IBM estão sujeitas a mudanças ou cancelamento sem aviso prévio e representam apenas metas e objetivo.
Estas informações contêm exemplos de dados e relatórios utilizados em operações de negócios diárias. Para ilustrá-los da forma mais completa possível, os exemplos incluem nomes de pessoas, empresas, marcas e produtos. Todos esses nomes são fictícios e qualquer semelhança com pessoas ou empresas reais é mera coincidência.
LICENÇA DE DIREITOS AUTORAIS:
Estas informações contêm programas de aplicativos de amostra na linguagem fonte, ilustrando as técnicas de programação em diversas plataformas operacionais. O Cliente pode copiar, modificar e distribuir estes programas de amostra sem a necessidade de pagar à IBM, com objetivos de desenvolvimento, utilização, marketing ou distribuição de programas aplicativos em conformidade com a interface de programação de aplicativo para a plataforma operacional para a qual os programas de amostra são criados. Esses exemplos não foram minuciosamente testados sob todas as condições. Portanto, a IBM não pode garantir ou implicar a confiabilidade, manutenção ou função destes programas. Os programas de amostra são fornecidos "NO ESTADO EM QUE SE ENCONTRAM", sem garantia de nenhum tipo. A IBM não se responsabiliza por nenhum dano decorrente do uso dos programas de amostra.
IBM, o logotipo IBM e ibm.com são marcas comerciais ou marcas registradas da International Business Machines Corp., registradas em vários países no mundo todo. Outros nomes de produtos e serviços podem ser marcas registradas da IBM ou de outras empresas. Uma lista atual de marcas comerciais da IBM está disponível na web em "Informações de marca comercial e copyright" em www.ibm.com/legal/copytrade.shtml.
Permissões para o uso destas publicações são concedidas sujeitas aos termos e condições a seguir.
Esses termos e condições adicionam-se a quaisquer termos de uso para o website da IBM.
É possível reproduzir essas publicações para uso pessoal não comercial, desde que todos os avisos do proprietário sejam preservados. O Cliente não pode distribuir, exibir ou fazer trabalho derivado destas publicações, ou qualquer parte delas, sem o consentimento expresso da IBM.
O cliente pode reproduzir, distribuir e exibir essas publicações unicamente dentro de sua empresa, contanto que todos os avisos do proprietário sejam preservados. O Cliente não pode fazer trabalhos derivados destas publicações ou reproduzir, distribuir ou exibir estas publicações, ou qualquer parte delas, fora de sua empresa, sem o consentimento expresso da IBM.
Exceto quando concedido expressamente nesta permissão, nenhuma outra permissão, licença ou direito será concedida, seja de maneira expressa ou implícita, para as publicações ou quaisquer informações, dados ou software ou outra propriedade intelectual nela contida.
A IBM reserva-se o direito de retirar as permissões concedidas aqui sempre que, a seu critério, o uso das publicações for prejudicial ao seu interesse ou, conforme determinado pela IBM, as instruções anteriores não estiverem sendo seguidas adequadamente.
O Cliente não pode fazer download, exportar ou reexportar estas informações, exceto em conformidade total com todas as leis e regulamentações aplicáveis, incluindo todas as leis e regulamentações de exportação nos Estados Unidos.
A IBM NÃO FORNECE GARANTIA QUANTO AO CONTEÚDO DESTAS PUBLICAÇÕES. AS PUBLICAÇÕES SÃO FORNECIDAS "NO ESTADO EM QUE SE ENCONTRAM" E SEM GARANTIA DE NENHUM TIPO, SEJA EXPRESSA OU IMPLÍCITA, INCLUINDO, MAS A ELAS NÃO SE LIMITANDO, AS GARANTIAS IMPLÍCITAS DE COMERCIALIZAÇÃO, NÃO INFRAÇÃO E ADEQUAÇÃO A UM DETERMINADO PROPÓSITO.
Estas informações contêm programas de aplicativos de amostra na linguagem fonte, ilustrando as técnicas de programação em diversas plataformas operacionais. O Cliente pode copiar, modificar e distribuir estes programas de exemplo sem a necessidade de pagar à IBM, com objetivos de desenvolvimento, utilização, marketing ou distribuição de programas aplicativos em conformidade com a interface de programação de aplicativo para a plataforma operacional para a qual os programas de exemplo são criados. Esses exemplos não foram testados completamente em todas as condições. Portanto, a IBM não pode garantir ou implicar a confiabilidade, manutenção ou função destes programas. Os programas de amostra são fornecidos "NO ESTADO EM QUE SE ENCONTRAM", sem garantia de nenhum tipo. A IBM não é responsável por nenhum dano decorrente do uso dos programas de amostra.
IBM, o logotipo IBM e ibm.com são marcas ou marcas registradas da International Business Machines Corp., registradas em vários países no mundo todo. Outros nomes de produtos e serviços podem ser marcas registradas da IBM ou de outras empresas. Uma lista atual de marcas registradas da IBM está disponível na Web em www.ibm.com/legal/copytrade.shtml.
Adobe e PostScript são marcas comerciais da Adobe Systems Incorporated.
Cell Broadband Engine - Sony Computer Entertainment Inc.
Rational é uma marca comercial da International Business Machines Corporation e do Rational Software Corporation, nos Estados Unidos, em outros países ou em ambos.
Intel, Intel Centrino, Intel SpeedStep, Intel Xeon, Celeron, Itanium, e Pentium são marcas comerciais da Intel Corporation nos Estados Unidos, em outros países ou em ambos.
IT Infrastructure Library é uma marca comercial da Central Computer and Telecommunications Agency
ITIL é uma marca comercial do The Minister for the Cabinet Office
Linear Tape-Open, LTO e Ultrium são marcas comerciais de HP, IBM Corp. e Quantum
Linux são marcas comerciais do Linus Torvalds
Microsoft, Windows e o logotipo Windows são marcas ou marcas registradas da Microsoft Corporation nos Estados Unidos e/ou em outros países.
Java e todas as marcas registradas e logotipos baseados em Java são marcas ou marcas registradas da Sun Microsystems, Inc. nos Estados Unidos e em outros países.
UNIX é uma marca registrada do The Open Group nos Estados Unidos e em outros países.