WebSphere Message Broker, Versão 8.0.0.5 Sistemas operacionais: AIX, HP-Itanium, Linux, Solaris, Windows, z/OS

Consulte as informações sobre a versão mais recente do produto em IBM Integration Bus, Versão 9.0

Resumo do Acesso Necessário (z/OS)

Os profissionais em sua organização requerem acesso a componentes e recursos no z/OS.

Autorizações Requeridas para o ID do Usuário de Tarefa Iniciada do WebSphere Message Broker

As seguintes autorizações de diretório são necessárias para todos os brokers:
  • Acesso READ e EXECUTE ao <INSTPATH>, em que <INSTPATH> é o diretório no qual WebSphere Message Broker para z/OS foi instalado por SMP/E.
  • Acesso READ, WRITE e EXECUTE para o diretório do componente ++COMPONENTDIRECTORY++.
  • Acesso READ e WRITE ao diretório inicial.
  • Acesso READ e WRITE ao diretório identificado por ++HOME++.
  • No UNIX System Services, o ID de usuário da tarefa iniciada e o ID de usuário do administrador do WebSphere Message Broker devem, ambos, ser membros dos grupos que possuem acesso aos diretórios de instalação e do componente, porque ambos precisam de privilégios sobre esses recursos. O proprietário desses diretórios deve fornecer as permissões apropriadas a esse grupo.
Todos os brokers precisam das seguintes autorizações RACF:
  • Acesso READ e WRITE à classe RACF, BPX.SMF, quando você precisa criar registros SMF 117 para contabilidade e estatísticas.
  • Acesso READ ao recurso CSFRNG na classe CSFSERV.

É necessário ter acesso READ ao componente PDSE.

Autorizações do WebSphere MQ

Ative a segurança do WebSphere MQ para proteger os recursos do WebSphere MQ. Se toddas as comutações de segurança do WebSphere MQ estiverem ativadas, defina os perfis a seguir e forneça ao ID do usuário da tarefa iniciada o acesso listado em cada perfil. Para cada acesso de perfil listado, <MQ_QMNAME> representa o gerenciador de filas do WebSphere MQ ao qual o componente WebSphere Message Broker está conectado, e TASKID representa o ID do usuário da tarefa iniciada.

  • Segurança de conexão: acesso READ ao perfil <MQ_QMNAME>.BATCH de classe MQCONN. Por exemplo, para o gerenciador de filas MQP1 e o ID da tarefa iniciada TASKID, utilize os comandos RACF:
    RDEFINE MQCONN MQP1.BATCH UACC(NONE)
    PERMIT MQP1.BATCH CLASS(MQCONN) ID(TASKID) ACCESS(READ)
  • Segurança de conexão quando a filtragem baseada em conteúdo com publicação/assinatura é utilizada: acesso UPDATE ao perfil <MQ_QMNAME>.BATCH da classe MQCONN. Por exemplo, para o gerenciador de filas MQP1 e o ID de tarefa iniciada TASKID, utilize os comandos RACF:
    RDEFINE MQCONN MQP1.BATCH UACC(NONE)
    PERMIT MQP1.BATCH CLASS(MQCONN) ID(TASKID) ACCESS(UPDATE)
  • Segurança de filas: acesso UPDATE ao perfil <MQ_QMNAME>. de classe MQQUEUE para todas filas. Considere a criação de perfis para as seguintes filas:
    • Todas as filad de componentes, usando o perfil genérico SYSTEM.BROKER.**
    • Todas as filas de transmissões que você definiu entre os gerenciadores de filas do componente.
    • Todas as filas que você especificou nos fluxos de mensagens.
    • Filas Dead-letter.
    • Filas modelos.
    Por exemplo, para o gerenciador de filas MQP1 e o ID da tarefa iniciada TASKID, utilize os seguintes comandos RACF para restringir o acesso às filas de componentes:
    RDEFINE MQQUEUE MQP1.SYSTEM.BROKER.** UACC(NONE)
    PERMIT MQP1.SYSTEM.BROKER.** CLASS(MQQUEUE) ID(TASKID) ACCESS(UPDATE)
  • Segurança de contexto: acesso CONTROL para alterar o perfil <MQ_QMNAME>.CONTEXT de MQADMIN. Por exemplo, para o gerenciador de filas MQP1 e o ID da tarefa iniciada TASKID, utilize os seguintes comandos RACF:
    RDEFINE MQADMIN MQP1.CONTEXT UACC(NONE)
    PERMIT MQP1.CONTEXT.** CLASS(MQADMIN) ID(TASKID) ACCESS(CONTROL) 
  • Segurança de usuário alternativo: Defina a autoridade de usuário alternativo como: acesso UPDATE ao perfil <MQ_QMNAME>.ALTERNATE.USER.id da classe MQADMIN, em que id representa o ID da tarefa de início do componente do broker. Por exemplo, para o gerenciador de filas MQP1, ID da tarefa iniciada TASKID e ID do serviço de configuração CFGID, utilize os seguintes comandos RACF:
    RDEFINE MQADMIN MQP1.ALTERNATE.USER.CFGID UACC(NONE)
    PERMIT MQP1.ALTERNATE.USER.CFGID  CLASS(MQADMIN) ID(TASKID) ACCESS(UPDATE) 
    Acesso UPDATE ao perfil <MQ_QMNAME>.ALTERNATE.USER.id da classe MQADMIN, em que id representa o ID do usuário de, por exemplo, um pedido de publicação/assinatura.
  • Segurança de processo e lista de nomes: Se você tiver as comutações de segurança do WebSphere MQ ativadas em seu sistema para segurança de processo e lista de nomes, não será necessário definir perfis de acesso em uma configuração padrão do WebSphere Message Broker.
  • Segurança de tópico:
    • Crie um perfil RACF para controlar a publicação e assinatura para o tópico MQ administrativo, SYSTEM.BROKER.MB.TOPIC:
      RDEFINE MXTOPIC <MQ_QMNAME>.PUBLISH.SYSTEM.BROKER.MB.TOPIC UACC(NONE)
      RDEFINE MXTOPIC <MQ_QMNAME>.SUBSCRIBE.SYSTEM.BROKER.MB.TOPIC UACC(NONE)
    • Conceda ao ID de tarefa iniciada do broker a capacidade de publicar nesse tópico:
      PERMIT <MQ_QMNAME>.PUBLISH.SYSTEM.BROKER.MB.TOPIC CLASS(MXTOPIC) ID(TASKID) ACCESS(UPDATE)
    • Permita que o broker assine seus próprios tópicos:
      PERMIT <MQ_QMNAME>.SUBSCRIBE.SYSTEM.BROKER.MB.TOPIC CLASS(MXTOPIC) ID(TASKID) ACCESS(ALTER)
    • Opcionalmente, permita que usuários adicionais assinem esses tópicos (necessários para usuários da web ou para consumidores externos de eventos) PERMIT, como acima para os IDs de usuários adicionais.
Para usuários que se conectam remotamente a partir do WebSphere Message Broker Explorer, do WebSphere Message Broker Toolkit ou de um aplicativo CMP API ao broker no z/OS, as autorizações a seguir são necessárias. Os aplicativos CMP incluem os comandos que usam essa interface; mqsichangeresourcestats, mqsicreateexecutiongroup, mqsideleteexecutiongroup, mqsideploy, mqsilist, mqsimode, mqsireloadsecurity, mqsireportresourcestats, mqsistartmsgflow e mqsistopmsgflow.
  • Segurança de conexão: acesso READ ao perfil <MQ_QMNAME>.CHIN de classe MQCONN. Por exemplo, para o gerenciador de filas MQP1 e o ID da tarefa iniciada TASKID, utilize os seguintes comandos RACF:
    RDEFINE MQCONN MQP1.CHIN UACC(NONE)
    PERMIT MQP1.CHIN CLASS(MQCONN) ID(TASKID) ACCESS(READ)
  • Segurança alternativa do usuário: Defina a autoridade alternativa do usuário, como: acesso UPDATE ao perfil <MQ_QMNAME>.ALTERNATE.USER.id de classe MQADMIN, em que id representa o ID de usuário no aplicativo WebSphere Message Broker Toolkit ou CMP API. Por exemplo, para o gerenciador de filas MQP1, o ID da tarefa iniciada TASKID e o ID do usuário USERID, utilize os seguintes comandos RACF:
    RDEFINE MQADMIN MQP1.ALTERNATE.USER.USERID UACC(NONE)
    PERMIT MQP1.ALTERNATE.USER.USERID  CLASS(MQADMIN) ID(TASKID) ACCESS(UPDATE)

Autorizações Requeridas para o Administrador do WebSphere Message Broker

O administrador do broker requer as seguintes autorizações:

  • Acesso ALTER ao componente PDSE.
  • Acesso READ, WRITE e EXECUTE para o diretório do componente ++COMPONENTDIRECTORY++.
  • Acesso READ e EXECUTE ao <INSTPATH>, em que <INSTPATH> é o diretório no qual WebSphere Message Broker para z/OS foi instalado por SMP/E.
  • Acesso READ e WRITE ao diretório identificado por ++HOME++.
  • No UNIX System Services, o ID de usuário da tarefa iniciada e o ID de usuário do administrador do WebSphere Message Broker devem, ambos, ser membros dos grupos que possuem acesso aos diretórios de instalação e do componente, porque ambos precisam de privilégios sobre esses recursos. O proprietário desses diretórios precisa fornecer as permissões apropriadas a esse grupo. Além disso, o administrador do WebSphere Message Broker deve ser membro do grupo que é o primeiro grupo do ID do usuário da tarefa iniciada.

Autorizações Requeridas para o Administrador do WebSphere MQ

Se o administrador do WebSphere MQ executar a passagem do WebSphere MQ ao criar um broker, o ID de usuário de administrador precisará das autorizações a seguir. Alternativamente, você pode conceder autorização ao administrador do WebSphere Message Broker para executar a transmissão do WebSphere MQ.
  • Acesso ALTER ao componente PDSE.
  • Autorizações de diretório:
    • Acesso READ e EXECUTE ao <INSTPATH>, em que <INSTPATH> é o diretório no qual WebSphere Message Broker para z/OS foi instalado por SMP/E.
    • Acesso READ, WRITE e EXECUTE para o diretório do componente ++COMPONENTDIRECTORY++.
    • Acesso READ e WRITE ao diretório identificado por ++HOME++.
Ative a segurança do WebSphere MQ para proteger os recursos do WebSphere MQ. Se todas as chaves de segurança do WebSphere MQ estiverem ativadas, defina os seguintes perfis e conceda ao administrador do WebSphere MQ o acesso listado a cada perfil para executar as tarefas de configuração do WebSphere MQ. Para cada acesso de perfil listado, MQ_QMNAME representa o gerenciador de filas do WebSphere MQ com o qual o componente do WebSphere Message Broker está conectado e MQADMIN representa o ID do administrador do WebSphere MQ:
  • Segurança de conexão: acesso READ ao perfil <MQ_QMNAME>.BATCH de classe MQCONN. Por exemplo, para o gerenciador de filas MQP1 e o ID do administrador MQADMIN do WebSphere MQ utilize os seguintes comandos RACF:
    RDEFINE MQCONN MQP1.BATCH UACC(NONE)
    PERMIT MQP1.BATCH CLASS(MQCONN) ID(MQADMIN) ACCESS(READ)
  • Segurança de filas: acesso UPDATE ao perfil <MQ_QMNAME>.queue de classe MQQUEUE para filas de componentes criadas ou excluídas. É possível criar um perfil genérico SYSTEM.BROKER.** Por exemplo, para o gerenciador de filas MQP1 e o ID do administrador MQADMIN do WebSphere MQ, utilize o seguinte comando RACF para restringir o acesso a filas de componentes:
    RDEFINE MQQUEUE MQP1.SYSTEM.BROKER.** UACC(NONE)
    PERMIT MQP1.SYSTEM.BROKER.** CLASS(MQQUEUE) ID(MQADMIN) ACCESS(UPDATE) 
  • Servidor de comandos do sistema: acesso UPDATE ao perfil <MQ_QMNAME>.queue de classe MQQUEUE para SYSTEM.COMMAND.**. Por exemplo, para o gerenciador de filas MQP1 e WebSphere MQ, ID de administrador MQADMIN, utilize os seguintes comandos RACF para restringir o acesso ao servidor de comandos do sistema:
    RDEFINE MQQUEUE MQP1.SYSTEM.COMMAND.** UACC(NONE)
    PERMIT MQP1.SYSTEM.COMMAND.** CLASS(MQQUEUE) ID(MQADMIN) ACCESS(UPDATE) 
    Acesso UPDATE ao perfil <MQ_QMNAME>.queue de classe MQQUEUE para algumas filas do sistema utilizadas durante uma tarefa de criação/exclusão. É possível criar um perfil genérico <MQ_QMNAME>.**
  • Segurança do comando:
    • Para executar a transmissão do WebSphere MQ ao criar um componente, você precisa:
      • Acesso ALTER a <MQ_QMNAME>.DEFINE.QLOCAL de classe MQCMDS.
      • Acesso ALTER a <MQ_QMNAME>.DEFINE.QMODEL de classe MQCMDS.
      • Acesso ALTER a <MQ_QMNAME>.DEFINE.CHANNEL de classe MQCMDS.
    • Para executar a transmissão do WebSphere MQ ao excluir um componente, você precisa:
      • Acesso ALTER a <MQ_QMNAME>.DELETE.QLOCAL de classe MQCMDS.
      • Acesso ALTER a <MQ_QMNAME>.DELETE.QMODEL de classe MQCMDS.
      • Acesso ALTER a <MQ_QMNAME>.DELETE.CHANNEL de classe MQCMDS.
    Para o gerenciador de filas MQP1 e o ID de administrador do WebSphere MQ MQADMIN, use os comandos RACF a seguir:
    RDEFINE MQCMDS MQP1.DELETE.QLOCAL UACC(NONE)
    PERMIT MQP1.DELETE.QLOCAL CLASS(MQCMDS) ID(MQADMIN) ACCESS(ALTER)
  • Segurança de comando do recurso: Acesso de ALTER para MQP1.QUEUE.queue de classe MQADMIN para cada fila criada ou excluída. É possível criar um perfil genérico SYSTEM.BROKER.**. Por exemplo, para o gerenciador de filas MQP1 e o ID do administrador MQADMIN do WebSphere MQ utilize os comandos RACF:
    RDEFINE MQADMIN MQP1.QUEUE.SYSTEM.BROKER.** UACC(NONE)
    PERMIT MQP1.QUEUE.SYSTEM.BROKER.** CLASS(MQADMIN) ID(MQADMIN) ACCESS(ALTER)
  • Segurança de processo e namelist: Se você tiver opções de segurança do WebSphere MQ ativadas no sistema para segurança de processo e namelist, não é necessário definir nenhum perfil de acesso em uma configuração padrão do WebSphere Message Broker.
Avisos | Marcas Registradas | Downloads | Biblioteca | Suporte | Feedback

Copyright IBM Corporation 1999, 2014Copyright IBM Corporation 1999, 2014.

        
        Última atualização:
        
        Última atualização: 2015-02-28 18:29:35


Tópico de ReferênciaTópico de Referência | Versão 8.0.0.5 | ae14040_