WebSphere Message Broker Version 8.0.0.5 Betriebssysteme: AIX, HP-Itanium, Linux, Solaris, Windows, z/OS

Sehen Sie sich die Informationen zur aktuellen Produktversion im IBM Integration Bus Version 9.0 an.

Zusammenfassung des erforderlichen Zugriffs (z/OS)

Die professionellen Anwender in Ihrer Organisation benötigen Zugriff auf Komponenten und Ressourcen unter z/OS.

Berechtigungen, die für die Benutzer-ID der in WebSphere Message Broker gestarteten Task erforderlich sind

Folgende Verzeichnisberechtigungen sind für alle Broker erforderlich:
  • Lese- und Ausführungszugriff (READ und EXECUTE) auf <INSTPATH>; dabei ist <INSTPATH> das Verzeichnis, in dem unter Verwendung von SMP/E WebSphere Message Broker for z/OS installiert ist.
  • Lese-, Schreib- und Ausführungszugriff (READ, WRITE und EXECUTE) auf das Komponentenverzeichnis ++COMPONENTDIRECTORY++.
  • Lese- und Schreibzugriff (READ und WRITE) auf das Ausgangsverzeichnis.
  • Lese- und Schreibzugriff (READ und WRITE) auf das über ++HOME++ angegebene Verzeichnis.
  • In UNIX System Services müssen die Benutzer-ID der gestarteten Task und die Benutzer-ID des WebSphere Message Broker-Administrators zu den Gruppen gehören, die Zugriff auf die Installations- und Komponentenverzeichnisse haben, da beide IDs Zugriffsberechtigungen für diese Ressourcen benötigen. Der Eigner dieser Verzeichnisse muss dieser Gruppe die erforderlichen Berechtigungen erteilen.
Alle Broker benötigen die folgenden RACF-Berechtigungen:
  • Lese- und Schreibzugriff (READ und WRITE) auf die RACF-Klasse BPX.SMF, wenn Sie für die Abrechnung und Statistiken SMF 117-Datensätze erstellen müssen.
  • Lesezugriff (READ) auf die CSFRNG-Ressource in der CSFSERV-Klasse ist erforderlich.

Lesezugriff (READ) auf die Komponenten-PDSE ist erforderlich.

WebSphere MQ-Berechtigungen

Aktivieren Sie die WebSphere MQ-Sicherheitsfunktion zum Schutz Ihrer WebSphere MQ-Ressourcen. Nachdem alle WebSphere MQ-Sicherheitsschalter aktiviert wurden, müssen Sie die folgenden Profile definieren und der Benutzer-ID der gestarteten Tasks für jedes Profil die hier aufgeführten Zugriffsrechte erteilen. In den aufgeführten Profilberechtigungen steht <MQ_QMNAME> für den WebSphere MQ-Warteschlangenmanager, mit dem die WebSphere Message Broker-Komponente verbunden ist. TASKID steht für die Benutzer-ID der gestarteten Task.

  • Sicherheit beim Verbindungsaufbau: Lesezugriff (READ) auf das Profil <MQ_QMNAME>.BATCH der Klasse MQCONN. Verwenden Sie beispielsweise RACF-Befehle für den Warteschlangenmanager MQP1 und für TASKID, die ID der gestarteten Task:
    RDEFINE MQCONN MQP1.BATCH UACC(NONE)
    PERMIT MQP1.BATCH CLASS(MQCONN) ID(TASKID) ACCESS(READ)
  • Verbindungssicherheit bei der Verwendung von inhaltsbasierten Filtern mit Publish/Subscribe: Aktualisierungszugriff UPDATE auf das Profil <MQ_QMNAME>.BATCH der KlasseMQCONN. Für den Warteschlangenmanager MQP1 und die ID TASKID der gestarteten Task beispielsweise werden die folgenden RACF-Befehle eingegeben:
    RDEFINE MQCONN MQP1.BATCH UACC(NONE)
    PERMIT MQP1.BATCH CLASS(MQCONN) ID(TASKID) ACCESS(UPDATE)
  • Warteschlangensicherheit: Aktualisierungszugriff (UPDATE) auf das Profil <MQ_QMNAME>.queue der Klasse MQQUEUE für alle Warteschlangen. Sie können beispielsweise Profile für die folgenden Warteschlangen erstellen:
    • Alle Komponentenwarteschlangen durch die Verwendung des generischen Profils SYSTEM.BROKER.**
    • Alle Übertragungswarteschlangen, die Sie zwischen den Warteschlangenmanagern der Komponenten definiert haben.
    • Alle Warteschlangen, die Sie in Nachrichtenflüssen angegeben haben.
    • Warteschlangen für nicht zustellbare Nachrichten.
    • Modellwarteschlangen.
    Beispiel: Verwenden Sie für den Warteschlangenmanager MQP1 und für TASKID, die ID der gestarteten Task, die folgenden RACF-Befehle, um den Zugriff auf die Komponentenwarteschlangen zu beschränken:
    RDEFINE MQQUEUE MQP1.SYSTEM.BROKER.** UACC(NONE)
    PERMIT MQP1.SYSTEM.BROKER.** CLASS(MQQUEUE) ID(TASKID) ACCESS(UPDATE)
  • Kontextsicherheit: Steuerungszugriff (CONTROL) auf das Profil <MQ_QMNAME>.CONTEXT der Klasse MQADMIN. Verwenden Sie beispielsweise die folgenden RACF-Befehle für den Warteschlangenmanager MQP1 und für TASKID, die ID der gestarteten Task:
    RDEFINE MQADMIN MQP1.CONTEXT UACC(NONE)
    PERMIT MQP1.CONTEXT.** CLASS(MQADMIN) ID(TASKID) ACCESS(CONTROL) 
  • Sicherheit bei Verwendung alternativer Benutzer: Definieren Sie die alternative Benutzerberechtigung wie folgt: Aktualisierungszugriff (UPDATE) auf das Profil <MQ_QMNAME>.ALTERNATE.USER.id der Klasse MQADMIN; dabei steht id für die ID der Starttask der Brokerkomponente. Verwenden Sie beispielsweise folgende RACF-Befehle für den Warteschlangenmanager MQP1 und für TASKID, die ID der gestarteten Task, und die Konfigurationsservice-ID CFGID:
    RDEFINE MQADMIN MQP1.ALTERNATE.USER.CFGID UACC(NONE)
    PERMIT MQP1.ALTERNATE.USER.CFGID  CLASS(MQADMIN) ID(TASKID) ACCESS(UPDATE) 
    Aktualisierungszugriff (UPDATE) auf das Profil <MQ_QMNAME>.ALTERNATE.USER.id der Klasse MQADMIN; dabei steht id beispielsweise für die Benutzer-ID einer Publish/Subscribe-Anforderung.
  • Prozess- und Namenslistensicherheit: Wenn Sie in Ihrem System WebSphere MQ-Sicherheitsschalter für Prozess- und Namenslistensicherheit aktiviert haben, müssen Sie in einer WebSphere Message Broker-Standardkonfiguration keine Zugriffsprofile definieren.
  • Themensicherheit:
    • Erstellen Sie ein RACF-Profil, um die Veröffentlichung und Subskription des administrativen MQ-Themas SYSTEM.BROKER.MB.TOPIC zu steuern:
      RDEFINE MXTOPIC <MQ_QMNAME>.PUBLISH.SYSTEM.BROKER.MB.TOPIC UACC(NONE)
      RDEFINE MXTOPIC <MQ_QMNAME>.SUBSCRIBE.SYSTEM.BROKER.MB.TOPIC UACC(NONE)
    • Erteilen Sie der ID der gestarteten Task für den Broker die Funktion zur Veröffentlichung zu diesem Thema:
      PERMIT <MQ_QMNAME>.PUBLISH.SYSTEM.BROKER.MB.TOPIC CLASS(MXTOPIC) ID(TASKID) ACCESS(UPDATE)
    • Erlauben Sie den Broker die Subskription seiner eigenen Themen:
      PERMIT <MQ_QMNAME>.SUBSCRIBE.SYSTEM.BROKER.MB.TOPIC CLASS(MXTOPIC) ID(TASKID) ACCESS(ALTER)
    • Erlauben Sie optional weiteren Benutzern mit dem Befehl PERMIT wie oben die Subskription dieser Themen für die zusätzlichen Benutzer-IDs (erforderlich für Webbenutzer oder für externe Nutzer von Ereignissen).
Benutzer, die entweder über den WebSphere Message Broker Explorer, dasWebSphere Message Broker Toolkit oder eine CMP-API-Anwendung über Fernzugriff eine Verbindung zum Broker unter z/OS herstellen, benötigen die folgende Berechtigungen. Konfigurationsmanager-Proxy-Anwendungen enthalten Befehle, die diese Schnittstelle verwenden: mqsichangeresourcestats, mqsicreateexecutiongroup, mqsideleteexecutiongroup, mqsideploy, mqsilist, mqsimode, mqsireloadsecurity, mqsireportresourcestats, mqsistartmsgflow und mqsistopmsgflow.
  • Verbindungssicherheit: Lesezugriff (READ) auf das Profil <MQ_QMNAME>.CHIN der Klasse MQCONN. Verwenden Sie beispielsweise die folgenden RACF-Befehle für den Warteschlangenmanager MQP1 und für TASKID, die ID der gestarteten Task:
    RDEFINE MQCONN MQP1.CHIN UACC(NONE)
    PERMIT MQP1.CHIN CLASS(MQCONN) ID(TASKID) ACCESS(READ)
  • Sicherheit bei Verwendung alternativer Benutzer: Definieren Sie die alternative Benutzerberechtigung wie folgt: Aktualisierungszugriff (UPDATE) auf das Profil <MQ_QMNAME>.ALTERNATE.USER.id der Klasse MQADMIN; dabei steht id für die Benutzer-ID der WebSphere Message Broker Toolkit- oder CMP-API-Anwendung. Beispiel: Geben Sie für den Warteschlangenmanager MQP1, die ID TASKID der gestarteten Task und die Benutzer-ID USERID folgende RACF-Befehle ein:
    RDEFINE MQADMIN MQP1.ALTERNATE.USER.USERID UACC(NONE)
    PERMIT MQP1.ALTERNATE.USER.USERID  CLASS(MQADMIN) ID(TASKID) ACCESS(UPDATE)

Berechtigungen, die für den WebSphere Message Broker-Administrator erforderlich sind

Der Brokeradministrator benötigt die folgenden Berechtigungen:

  • Änderungs-Berechtigungen für die Komponenten-PDSE.
  • Lese-, Schreib- und Ausführungszugriff (READ, WRITE und EXECUTE) auf das Komponentenverzeichnis ++COMPONENTDIRECTORY++.
  • Lese- und Ausführungszugriff (READ und EXECUTE) auf <INSTPATH>; dabei ist <INSTPATH> das Verzeichnis, in dem unter Verwendung von SMP/E WebSphere Message Broker for z/OS installiert ist.
  • Lese- und Schreibzugriff (READ und WRITE) auf das über ++HOME++ angegebene Verzeichnis.
  • In UNIX System Services müssen die Benutzer-ID der gestarteten Task und die Benutzer-ID des WebSphere Message Broker-Administrators zu den Gruppen gehören, die Zugriff auf die Installations- und Komponentenverzeichnisse haben, da beide IDs Zugriffsberechtigungen für diese Ressourcen benötigen. Der Eigner dieser Verzeichnisse muss dieser Gruppe die erforderlichen Berechtigungen erteilen. Außerdem muss der WebSphere Message Broker-Administrator der Gruppe angehören, die die Primärgruppe der Benutzer-ID der gestarteten Task ist.

Erforderliche Berechtigungen für WebSphere MQ-Administratoren

Damit der WebSphere MQ-Administrator beim Erstellen eines Brokers den WebSphere MQ-Arbeitsgang ausführen kann, muss die Benutzer-ID des Administrators über die folgenden Berechtigungen verfügen. Ebenso können Sie auch dem WebSphere Message Broker-Administrator die Berechtigung zum Ausführen des WebSphere MQ-Arbeitsgangs erteilen.
  • Änderungs-Berechtigungen für die Komponenten-PDSE.
  • Verzeichnisberechtigungen:
    • Lese- und Ausführungszugriff (READ und EXECUTE) auf <INSTPATH>; dabei ist <INSTPATH> das Verzeichnis, in dem unter Verwendung von SMP/E WebSphere Message Broker for z/OS installiert ist.
    • Lese-, Schreib- und Ausführungszugriff (READ, WRITE und EXECUTE) auf das Komponentenverzeichnis ++COMPONENTDIRECTORY++.
    • Lese- und Schreibzugriff (READ und WRITE) auf das über ++HOME++ angegebene Verzeichnis.
Aktivieren Sie die WebSphere MQ-Sicherheitsfunktion zum Schutz Ihrer WebSphere MQ-Ressourcen. Wenn alle WebSphere MQ-Sicherheitsschalter aktiviert sind, definieren Sie die folgenden Profile und ordnen Sie dem WebSphere MQ-Administrator die in der Liste enthaltenen Zugriffsberechtigungen für die jeweiligen Profile zu, damit die WebSphere MQ-Konfigurationsjobs ausgeführt werden können. In den aufgeführten Profilberechtigungen steht MQ_QMNAME für den WebSphere MQ-Warteschlangenmanager, mit dem die WebSphere Message Broker-Komponente verbunden ist. MQADMIN steht für die ID des WebSphere MQ-Administrators:
  • Sicherheit beim Verbindungsaufbau: Lesezugriff (READ) auf das Profil <MQ_QMNAME>.BATCH der Klasse MQCONN. Verwenden Sie beispielsweise folgende RACF-Befehle für den Warteschlangenmanager MQP1 und die ID des WebSphere MQ-Administrators MQADMIN:
    RDEFINE MQCONN MQP1.BATCH UACC(NONE)
    PERMIT MQP1.BATCH CLASS(MQCONN) ID(MQADMIN) ACCESS(READ)
  • Warteschlangensicherheit: Aktualisierungszugriff (UPDATE) auf das Profil <MQ_QMNAME>.queue der Klasse MQQUEUE für Warteschlangen, die erstellt oder gelöscht wurden. Sie können ein generisches Profil (SYSTEM.BROKER.**) erstellen. Für den Warteschlangenmanager MQP1 und die WebSphere MQ-Administrator-ID MQADMIN beispielsweise wird der Zugriff auf die Komponentenwarteschlangen mit den folgenden RACF-Befehlen eingeschränkt:
    RDEFINE MQQUEUE MQP1.SYSTEM.BROKER.** UACC(NONE)
    PERMIT MQP1.SYSTEM.BROKER.** CLASS(MQQUEUE) ID(MQADMIN) ACCESS(UPDATE) 
  • Systembefehlsserver: Aktualisierungszugriff (UPDATE) auf das Profil <MQ_QMNAME>.queue der Klasse MQQUEUE für SYSTEM.COMMAND.**. Für den Warteschlangenmanager MQP1 und die WebSphere MQ-Administrator-ID MQADMIN beispielsweise wird der Zugriff auf den Systembefehlsserver mit den folgenden RACF-Befehlen eingeschränkt:
    RDEFINE MQQUEUE MQP1.SYSTEM.COMMAND.** UACC(NONE)
    PERMIT MQP1.SYSTEM.COMMAND.** CLASS(MQQUEUE) ID(MQADMIN) ACCESS(UPDATE) 
    Aktualisierungszugriff (UPDATE) auf das Profil <MQ_QMNAME>.queue der Klasse MQQUEUE für einige Systemwarteschlangen, die während des Jobs zum Erstellen/Löschen verwendet werden. Sie können das generische Profil <MQ_QMNAME>.** erstellen.
  • Befehlssicherheit:
    • Zum Ausführen des WebSphere MQ-Arbeitsgangs beim Erstellen einer Komponente benötigen Sie:
      • Änderungszugriff (ALTER) auf <MQ_QMNAME>.DEFINE.QLOCAL der Klasse MQCMDS.
      • Änderungszugriff (ALTER) auf <MQ_QMNAME>.DEFINE.QMODEL der Klasse MQCMDS.
      • Änderungszugriff (ALTER) auf <MQ_QMNAME>.DEFINE.CHANNEL der Klasse MQCMDS.
    • Zum Ausführen des WebSphere MQ-Arbeitsgangs beim Löschen einer Komponente benötigen Sie:
      • Änderungszugriff (ALTER) auf <MQ_QMNAME>.DELETE.QLOCAL der Klasse MQCMDS.
      • Änderungszugriff (ALTER) auf <MQ_QMNAME>.DELETE.QMODEL der Klasse MQCMDS.
      • Änderungszugriff (ALTER) auf <MQ_QMNAME>.DELETE.CHANNEL der Klasse MQCMDS.
    Für den Warteschlangenmanager MQP1 und die WebSphere MQ-Administrator-ID MQADMIN beispielsweise werden die folgenden RACFF-Befehle eingegeben:
    RDEFINE MQCMDS MQP1.DELETE.QLOCAL UACC(NONE)
    PERMIT MQP1.DELETE.QLOCAL CLASS(MQCMDS) ID(MQADMIN) ACCESS(ALTER)
  • Ressourcenbefehlssicherheit: Änderungszugriff (ALTER) auf MQP1.QUEUE.queue der Klasse MQADMIN für jede Warteschlange, die erstellt oder gelöscht wurde. Sie können ein generisches Profil (SYSTEM.BROKER.**) erstellen. Verwenden Sie beispielsweise die RACF-Befehle für den Warteschlangenmanager MQP1 und die ID des WebSphere MQ-Administrators MQADMIN:
    RDEFINE MQADMIN MQP1.QUEUE.SYSTEM.BROKER.** UACC(NONE)
    PERMIT MQP1.QUEUE.SYSTEM.BROKER.** CLASS(MQADMIN) ID(MQADMIN) ACCESS(ALTER)
  • Prozess- und Namenslistensicherheit: Wenn Sie in Ihrem System WebSphere MQ-Sicherheitsschalter für Prozess- und Namenslistensicherheit aktiviert haben, müssen Sie in einer WebSphere Message Broker-Standardkonfiguration keine Zugriffsprofile definieren.
Bemerkungen | Marken | Downloads | Bibliothek | Support | Feedback

Copyright IBM Corporation 1999, 2014Copyright IBM Corporation 1999, 2014.

        
        Letzte Aktualisierung:
        
        Letzte Aktualisierung: 2015-02-28 16:21:11


ReferenzthemaReferenzthema | Version 8.0.0.5 | ae14040_