Ao criar seus brokers no z/OS, você deve configurar a segurança configurando IDs de usuários do broker com permissões apropriadas.
As etapas a seguir o guiam pela configuração de um ID de usuário do broker no z/OS:
- Decida sobre o nome da tarefa iniciada do broker. Este
nome será usado para configurar autorizações da tarefa iniciada e para gerenciar
o desempenho do sistema.
- Decida sobre uma convenção de nomenclatura de conjunto de dados para PDSE do WebSphere Message Broker. Um nome típico pode ser WMQI.MQP1BRK.CNTL,
em que MQP1 é o nome do gerenciador de filas. Você deve conceder
aos administradores do WebSphere Message Broker, do WebSphere MQ e do z/OS acesso a esses
conjuntos de dados. É possível controlar acesso de diversas maneiras, por exemplo:
- Conceder a cada usuário individual acesso ao conjunto de dados específico
- Definir um perfil de conjunto de dados genérico, definindo um grupo que contenha
os IDs do usuário dos administradores. Conceder acesso de controle de grupo ao perfil de
conjunto de dados genérico
- Configure acesso a componentes e recursos no z/OS. Para obter informações adicionais, consulte Resumo do Acesso Necessário (z/OS).
- Defina um segmento do grupo OMVS para este grupo para que
as informações possam ser extraídas do banco de dados do External Security Manager (ESM)
para permitir que você use a segurança do Publicação/Assinatura.
- Defina um segmento de OMVS para o ID do usuário da tarefa
iniciada e forneça espaço suficiente para seu diretório inicial para
qualquer dump de memória do WebSphere Message Broker. Considere utilizar o nome do procedimento de tarefa iniciada como o
ID do usuário da tarefa iniciada.
- Verifique se
seu segmento OMVS está definido, utilizando o seguinte comando do TSO:
LU userid OMVS
A saída do comando inclui o segmento OMVS, por exemplo:
USER=MQP1BRK NAME=SMITH, JANE OWNER=TSOUSER
CREATED=99.342 DEFAULT-GROUP=TSOUSER PASSDATE=01.198
PASS-INTERVAL=30
......
OMVS INFORMATION
----------------
UID=0000070594
HOME=/u/MQP1BRK
PROGRAM=/bin/sh
CPUTIMEMAX=NONE
ASSIZEMAX=NONE
FILEPROCMAX=NONE
PROCUSERMAX=NONE
THREADSMAX=NONE
MMAPAREAMAX=NONE
O comando:
df -P /u/MQP1BRK
exibe a quantidade de espaço usado e
disponível, em que /u/MQP1BRK é o valor de HOME (em uma linha anterior). Este comando mostra a quantidade de espaço disponível
no momento no sistema de arquivos.
Verifique com seu administrador de dados se esse espaço é suficiente.
Você requer no mínimo
400.000 blocos disponíveis se um dump de memória for feito.
- Associe o procedimento de tarefa iniciada ao ID do usuário a ser utilizado. Por exemplo, você pode utilizar a classe STARTED no RACF. Os administradores do WebSphere Message Broker e do z/OS
devem estar de acordo com o nome da tarefa iniciada.
- Os administradores do WebSphere Message Broker requerem um segmento OMVS e de um diretório inicial. Verifique a configuração descrita
anteriormente.
- Os IDs de usuários da tarefa iniciada e os administradores do
WebSphere Message Broker requerem acesso aos arquivos de processamento de instalação, aos
arquivos específicos do componente e ao diretório inicial da tarefa iniciada. Durante a customização, a
propriedade do arquivo pode ser alterada para alterar o acesso do grupo. Essa mudança pode requerer
autoridade de superusuário.
Quando o ID do usuário do serviço for root,
todas as bibliotecas carregadas pelo broker, incluindo todas as bibliotecas de plug-in gravadas pelo
usuário e todas as bibliotecas compartilhadas que eles podem acessar, também terão acesso de root a todos os
recursos do sistema (por exemplo, conjuntos de arquivos). Leia e avalie o risco envolvido
ao conceder este nível de autorização.