Wenn Sie Broker unter z/OS erstellen, müssen Sie zur Einrichtung der Sicherheit Broker-Benutzer-IDs mit den erforderlichen Berechtigungen konfigurieren.
Führen Sie zur Konfiguration einer Broker-Benutzer-ID unter z/OS die folgenden Schritte aus:
- Bestimmen Sie den Namen der gestarteten Tasks des Brokers. Auf Basis dieses Namens werden Berechtigungen für
gestartete Task eingerichtet und die Systemleistung verwaltet.
- Legen Sie eine Dateinamenskonvention für Ihre WebSphere Message
Broker-PDSE fest. Ein typischer Name wäre beispielsweise WMQI.MQP1BRK.CNTL. Dabei steht MQP1 für den Namen des WS-Managers. Sie müssen den Administratoren von WebSphere Message
Broker, WebSphere MQ und z/OS Zugriff auf diese Dateien erteilen. Für die Steuerung des Zugriffs gibt es verschiedene Möglichkeiten, zum Beispiel:
- Für jeden Benutzer individueller Zugriff auf bestimmte Dateien
- Definition eines generischen Dateiprofils und Festlegung einer Gruppe mit den Benutzer-IDs der
Administratoren; Erteilung von Steuerungszugriff auf das generische
Dateiprofil für die Gruppe
- Konfigurieren Sie den Zugriff auf Komponenten und Ressourcen unter
z/OS. Der Abschnitt Zusammenfassung des erforderlichen Zugriffs (z/OS) enthält weitere Informationen hierzu.
- Definieren Sie eine OMVS-Gruppensegment
für diese Gruppe, sodass Informationen aus der
ESM-Datenbank (External Security Manager) extrahiert werden können, damit Sie die
Publish/Subscribe-Sicherheit verwenden können.
- Definieren Sie ein OMVS-Segment für die Benutzer-ID der gestarteten Task und weisen Sie deren
Ausgangsverzeichnis ausreichend Speicher für
WebSphere Message
Broker-Speicherauszüge zu. Verwenden Sie gegebenenfalls den
Prozedurnamen der gestarteten Task als Benutzer-ID der gestarteten Task.
- Überprüfen Sie mit
folgendem TSO-Befehl, ob Ihr OMVS-Segment definiert ist:
LU Benutzer-ID OMVS
Die Befehlsausgabe enthält das OMVS-Segment, zum Beispiel:
USER=MQP1BRK NAME=SMITH, JANE OWNER=TSOUSER
CREATED=99.342 DEFAULT-GROUP=TSOUSER PASSDATE=01.198
PASS-INTERVAL=30
......
OMVS INFORMATION
----------------
UID=0000070594
HOME=/u/MQP1BRK
PROGRAM=/bin/sh
CPUTIMEMAX=NONE
ASSIZEMAX=NONE
FILEPROCMAX=NONE
PROCUSERMAX=NONE
THREADSMAX=NONE
MMAPAREAMAX=NONE
Der Befehl
df -P /u/MQP1BRK
zeigt die Größe des verfügbaren
Speicherplatzes an, wobei /u/MQP1BRK dem Wert von HOME (in einer der vorangegangenen Zeilen) entspricht. Der Befehl zeigt Ihnen, wie viel Speicherplatz zurzeit im
Dateisystem verfügbar ist.
Überprüfen Sie gemeinsam mit Ihrem Datenadministrator, ob dieser Speicherplatz ausreichend ist.
Für die Erstellung eines Speicherauszugs benötigen Sie mindestens 400 000 freie Blöcke.
- Ordnen Sie der Prozedur der gestarteten Task die zu verwendende
Benutzer-ID zu. Sie können beispielsweise die Klasse STARTED in
RACF verwenden. Die Administratoren von WebSphere Message
Broker und
z/OS müssen dem Namen der gestarteten Task zustimmen.
- WebSphere Message
Broker-Administratoren benötigen ein OMVS-Segment und ein Ausgangsverzeichnis. Überprüfen Sie die zuvor beschriebene Konfiguration.
- Die Benutzer-IDs für die gestartete Task und die
WebSphere Message
Broker-Administratoren müssen Zugriff auf die
Verarbeitungsdateien für die Installation, die komponentenspezifischen Dateien und das
Ausgangsverzeichnis der gestarteten Task haben. Während der Anpassung kann das Eigentumsrecht geändert
werden, um den Gruppenzugriff zu ändern. Für diese Änderung ist unter Umständen Superuserberechtigung erforderlich.
Wenn root als
Servicebenutzer-ID verwendet wird, haben alle vom Broker geladenen Bibliotheken, einschließlich
aller benutzerdefinierten Plug-in-Bibliotheken und aller gemeinsam genutzten Bibliotheken, auf die
sie zugreifen, ebenfalls Root-Zugriff auf alle Systemressourcen (beispielsweise Dateigruppen). Überprüfen und
bewerten Sie das Risiko, das mit der Erteilung dieser Berechtigungsstufe verbunden ist.