z/OS 队列管理器上配置资源安全性

对于 z/OS® 队列管理器,可以激活或取消激活整个队列管理器 (子系统) 的安全性。 如果安全性在子系统级别是活动的,那么您可配置此队列管理器资源的安全性,并且,如果此队列管理器属于队列共享组,那么您可配置整个队列共享组的安全性。

开始之前

必须先将 z/OS 队列管理器添加到 IBM® MQ Explorer ,并且 IBM MQ Explorer 必须连接到队列管理器,然后才能执行此任务。 有关更多信息,请参阅 显示远程队列管理器连接或断开连接队列管理器

关于本任务

如果子系统安全性处于活动状态,那么当用户访问 IBM MQ 资源时,队列管理器会将该用户登录到队列管理器。 如果用户在预定时间段内未访问队列管理器上的任何 IBM MQ 资源,那么用户的用户标识将 "超时" 并被签出。

IBM MQ Explorer中,可以执行以下任务:

  1. 查看队列管理器安全设置
  2. 配置用户标识的超时时间段

有关更多信息,请参阅 IBM Documentation中的 保护 IBM MQ

过程

  • [选项 1] 查看队列管理器的安全设置

    可能没有提供,也可能提供了一个或多个决定队列管理器安全性的安全开关。 这些开关可设置为“开”或“关”,开关的设置由是否有开关概要信息来确定。 在 IBM MQ Explorer中,您可以查看但不能配置安全开关的设置。

    1. 在 " Navigator " 视图中,右键单击队列管理器,然后单击 配置 > 安全性
    “安全性”对话框打开。 安全开关表显示所能提供的与此队列管理器相关的所有安全开关。 此表显示每个安全开关是设置为“开”还是“关”,还显示哪个概要信息确定此设置。
  • [选项 2] 配置用户标识的超时时间段

    如果用户通过了身份验证以访问队列管理器上的资源,但在预定的时间段内它未访问此队列管理器的任何资源,那么此用户的用户标识超时。 IBM MQ 可以进行定期检查以确定用户标识是否已超时。 在 IBM MQ Explorer中,可以配置超时时间段的长度以及用于确定超时时间段是否已到期的检查频率。

    1. 在 " Navigator " 视图中,右键单击队列管理器,然后单击 配置 > 安全性。 “安全性”对话框打开。
    2. 在 "安全性" 对话框中,单击 属性 ...。 “属性”对话框打开。
    3. 在“属性”对话框中,编辑您要更改的参数。

      例如,如果 Security timeout 值为 30 并且 Security interval 值为 10,那么 IBM MQ 每 10 分钟检查一次用户标识及其关联的资源以确定是否有任何项未使用超过 30 分钟。 如果找到超时的用户标识,那么在此队列管理器范围内,此用户标识被注销。 如果找到与未超时的用户标识关联的任何超时资源信息,那么将废弃此资源信息。 如果您不希望使用户标识超时,那么请将 Security interval 值设置为零。 但是,如果此时间间隔值是零,那么在从命令行发出 REFRESH SECURITY 命令或 RVERIFY SECURITY 命令之前,不会释放用户标识及其关联的资源所占用的存储空间。

    4. 单击 确定 以关闭 "属性" 对话框。

    这些更改显示在“安全性”对话框的表中。