As seguintes autorizações de diretório são necessárias para
todos os brokers:
- Acesso READ e EXECUTE ao <INSTPATH>, em que
<INSTPATH> é o diretório no qual WebSphere Message Broker para
z/OS foi instalado por SMP/E.
- Acesso READ, WRITE e
EXECUTE para o diretório do componente ++COMPONENTDIRECTORY++.
- Acesso READ e WRITE ao diretório inicial.
- Acesso READ e WRITE ao diretório identificado por ++HOME++.
- No UNIX System Services, o ID de usuário da tarefa iniciada e o ID de usuário
do administrador do WebSphere Message Broker devem, ambos, ser membros dos grupos que possuem acesso aos diretórios de instalação e do componente, porque ambos precisam de privilégios sobre esses recursos. O proprietário desses diretórios deve fornecer as permissões
apropriadas a esse grupo.
Todos os brokers precisam das seguintes autorizações RACF:
- Acesso READ e WRITE à classe
RACF, BPX.SMF, quando você
precisa criar registros SMF 117 para contabilidade e estatísticas.
- Acesso READ ao recurso CSFRNG na classe CSFSERV.
É necessário ter acesso READ ao componente PDSE.
Autorizações do WebSphere MQ
Ative a
segurança do WebSphere MQ para proteger
os recursos do WebSphere MQ. Se toddas as comutações de segurança do
WebSphere MQ estiverem ativadas, defina os perfis a seguir e forneça ao ID do
usuário da tarefa iniciada o acesso listado em cada perfil. Para cada acesso de perfil listado,
<MQ_QMNAME> representa o gerenciador de filas do
WebSphere MQ ao qual o componente WebSphere Message Broker
está conectado, e TASKID representa o ID do usuário da tarefa iniciada.
- Segurança de conexão: acesso READ ao perfil <MQ_QMNAME>.BATCH de classe MQCONN. Por exemplo, para o gerenciador de filas MQP1 e o ID da tarefa iniciada TASKID, utilize os comandos RACF:
RDEFINE MQCONN MQP1.BATCH UACC(NONE)
PERMIT MQP1.BATCH CLASS(MQCONN) ID(TASKID) ACCESS(READ)
- Segurança de conexão quando a filtragem baseada em conteúdo com publicação/assinatura é utilizada: acesso UPDATE
ao perfil <MQ_QMNAME>.BATCH da classe MQCONN. Por exemplo, para o gerenciador de filas MQP1 e o ID de tarefa iniciada TASKID, utilize os comandos RACF:
RDEFINE MQCONN MQP1.BATCH UACC(NONE)
PERMIT MQP1.BATCH CLASS(MQCONN) ID(TASKID) ACCESS(UPDATE)
- Segurança de filas: acesso UPDATE ao perfil <MQ_QMNAME>. de classe MQQUEUE para todas filas. Considere a criação de perfis para as
seguintes filas:
- Todas as filad de componentes, usando o perfil genérico SYSTEM.BROKER.**
- Todas as filas de transmissões que você definiu entre os gerenciadores de filas do componente.
- Todas as filas que você especificou nos fluxos de mensagens.
- Filas Dead-letter.
- Filas modelos.
Por exemplo, para o gerenciador de filas MQP1 e o ID da tarefa iniciada TASKID, utilize os seguintes comandos RACF para restringir o acesso às filas de componentes:
RDEFINE MQQUEUE MQP1.SYSTEM.BROKER.** UACC(NONE)
PERMIT MQP1.SYSTEM.BROKER.** CLASS(MQQUEUE) ID(TASKID) ACCESS(UPDATE)
- Segurança de contexto: acesso CONTROL para alterar o perfil <MQ_QMNAME>.CONTEXT de MQADMIN. Por exemplo, para o gerenciador de filas MQP1 e o ID da tarefa iniciada TASKID, utilize os seguintes comandos RACF:
RDEFINE MQADMIN MQP1.CONTEXT UACC(NONE)
PERMIT MQP1.CONTEXT.** CLASS(MQADMIN) ID(TASKID) ACCESS(CONTROL)
- Segurança de usuário alternativo: Defina a autoridade de usuário alternativo
como: acesso UPDATE ao perfil <MQ_QMNAME>.ALTERNATE.USER.id da
classe MQADMIN, em que id representa
o ID da tarefa de início do componente do broker. Por exemplo, para o gerenciador de filas MQP1, ID da tarefa iniciada TASKID e ID do serviço de configuração
CFGID, utilize os seguintes comandos RACF:
RDEFINE MQADMIN MQP1.ALTERNATE.USER.CFGID UACC(NONE)
PERMIT MQP1.ALTERNATE.USER.CFGID CLASS(MQADMIN) ID(TASKID) ACCESS(UPDATE)
Acesso UPDATE ao perfil <MQ_QMNAME>.ALTERNATE.USER.id da classe
MQADMIN, em que id representa o ID do usuário de, por exemplo, um pedido de
publicação/assinatura.
- Segurança de processo e lista de nomes: Se você tiver as comutações de segurança do
WebSphere MQ ativadas em seu sistema para segurança de processo e lista de
nomes, não será necessário definir perfis de acesso em uma configuração padrão do WebSphere Message Broker.
- Segurança de tópico:
- Crie um perfil RACF para controlar a publicação e assinatura para o tópico MQ administrativo, SYSTEM.BROKER.MB.TOPIC:
RDEFINE MXTOPIC <MQ_QMNAME>.PUBLISH.SYSTEM.BROKER.MB.TOPIC UACC(NONE)
RDEFINE MXTOPIC <MQ_QMNAME>.SUBSCRIBE.SYSTEM.BROKER.MB.TOPIC UACC(NONE)
- Conceda ao ID de tarefa iniciada do broker a capacidade de publicar nesse tópico:
PERMIT <MQ_QMNAME>.PUBLISH.SYSTEM.BROKER.MB.TOPIC CLASS(MXTOPIC) ID(TASKID) ACCESS(UPDATE)
- Permita que o broker assine seus próprios tópicos:
PERMIT <MQ_QMNAME>.SUBSCRIBE.SYSTEM.BROKER.MB.TOPIC CLASS(MXTOPIC) ID(TASKID) ACCESS(ALTER)
- Opcionalmente, permita que usuários adicionais assinem esses tópicos (necessários para usuários da web ou para consumidores externos de eventos) PERMIT, como acima para os IDs de usuários adicionais.
Para usuários que se conectam remotamente a partir do
WebSphere Message Broker Explorer, do WebSphere Message Broker Toolkit ou de
um aplicativo CMP API ao broker no
z/OS,
as autorizações a seguir são necessárias. Os aplicativos
CMP incluem os comandos que usam essa interface;
mqsichangeresourcestats, mqsicreateexecutiongroup,
mqsideleteexecutiongroup,
mqsideploy,
mqsilist, mqsimode,
mqsireloadsecurity,
mqsireportresourcestats, mqsistartmsgflow e
mqsistopmsgflow.
- Segurança de conexão: acesso READ ao perfil <MQ_QMNAME>.CHIN de classe MQCONN. Por exemplo, para o gerenciador de filas MQP1 e o ID da tarefa iniciada TASKID, utilize os seguintes comandos RACF:
RDEFINE MQCONN MQP1.CHIN UACC(NONE)
PERMIT MQP1.CHIN CLASS(MQCONN) ID(TASKID) ACCESS(READ)
- Segurança alternativa do usuário: Defina a autoridade alternativa do usuário, como: acesso UPDATE ao perfil <MQ_QMNAME>.ALTERNATE.USER.id de classe MQADMIN, em que id representa o ID de usuário no aplicativo WebSphere Message Broker Toolkit ou CMP API. Por exemplo, para o gerenciador de filas MQP1, o ID da tarefa iniciada TASKID e o ID do usuário
USERID, utilize os seguintes comandos RACF:
RDEFINE MQADMIN MQP1.ALTERNATE.USER.USERID UACC(NONE)
PERMIT MQP1.ALTERNATE.USER.USERID CLASS(MQADMIN) ID(TASKID) ACCESS(UPDATE)