WebSphere Message Broker Version 8.0.0.5 Betriebssysteme: AIX, HP-Itanium, Linux, Solaris, Windows, z/OS

Sehen Sie sich die Informationen zur aktuellen Produktversion im IBM Integration Bus Version 9.0 an.

Broker-Benutzer-IDs unter z/OS konfigurieren

Wenn Sie Broker unter z/OS erstellen, müssen Sie zur Einrichtung der Sicherheit Broker-Benutzer-IDs mit den erforderlichen Berechtigungen konfigurieren.

Vor dem Start

Lesen Sie vor Ausführung dieser Task Abschnitt Brokerkomponente-Sicherheit und Broker unter z/OS erstellen.

Führen Sie zur Konfiguration einer Broker-Benutzer-ID unter z/OS die folgenden Schritte aus:

  1. Bestimmen Sie den Namen der gestarteten Tasks des Brokers. Auf Basis dieses Namens werden Berechtigungen für gestartete Task eingerichtet und die Systemleistung verwaltet.
  2. Legen Sie eine Dateinamenskonvention für Ihre WebSphere Message Broker-PDSE fest. Ein typischer Name wäre beispielsweise WMQI.MQP1BRK.CNTL. Dabei steht MQP1 für den Namen des WS-Managers. Sie müssen den Administratoren von WebSphere Message Broker, WebSphere MQ und z/OS Zugriff auf diese Dateien erteilen. Für die Steuerung des Zugriffs gibt es verschiedene Möglichkeiten, zum Beispiel:
    • Für jeden Benutzer individueller Zugriff auf bestimmte Dateien
    • Definition eines generischen Dateiprofils und Festlegung einer Gruppe mit den Benutzer-IDs der Administratoren; Erteilung von Steuerungszugriff auf das generische Dateiprofil für die Gruppe
  3. Konfigurieren Sie den Zugriff auf Komponenten und Ressourcen unter z/OS. Der Abschnitt Zusammenfassung des erforderlichen Zugriffs (z/OS) enthält weitere Informationen hierzu.
  4. Definieren Sie eine OMVS-Gruppensegment für diese Gruppe, sodass Informationen aus der ESM-Datenbank (External Security Manager) extrahiert werden können, damit Sie die Publish/Subscribe-Sicherheit verwenden können.
  5. Definieren Sie ein OMVS-Segment für die Benutzer-ID der gestarteten Task und weisen Sie deren Ausgangsverzeichnis ausreichend Speicher für WebSphere Message Broker-Speicherauszüge zu. Verwenden Sie gegebenenfalls den Prozedurnamen der gestarteten Task als Benutzer-ID der gestarteten Task.
  6. Überprüfen Sie mit folgendem TSO-Befehl, ob Ihr OMVS-Segment definiert ist:
    LU Benutzer-ID OMVS
    Die Befehlsausgabe enthält das OMVS-Segment, zum Beispiel:
    USER=MQP1BRK NAME=SMITH, JANE OWNER=TSOUSER
    CREATED=99.342 DEFAULT-GROUP=TSOUSER PASSDATE=01.198
    PASS-INTERVAL=30
    ......
    OMVS INFORMATION
    ----------------
    UID=0000070594
    HOME=/u/MQP1BRK
    PROGRAM=/bin/sh
    CPUTIMEMAX=NONE
    ASSIZEMAX=NONE
    FILEPROCMAX=NONE
    PROCUSERMAX=NONE
    THREADSMAX=NONE
    MMAPAREAMAX=NONE
    Der Befehl
    df -P /u/MQP1BRK
    zeigt die Größe des verfügbaren Speicherplatzes an, wobei /u/MQP1BRK dem Wert von HOME (in einer der vorangegangenen Zeilen) entspricht. Der Befehl zeigt Ihnen, wie viel Speicherplatz zurzeit im Dateisystem verfügbar ist. Überprüfen Sie gemeinsam mit Ihrem Datenadministrator, ob dieser Speicherplatz ausreichend ist. Für die Erstellung eines Speicherauszugs benötigen Sie mindestens 400 000 freie Blöcke.
  7. Ordnen Sie der Prozedur der gestarteten Task die zu verwendende Benutzer-ID zu. Sie können beispielsweise die Klasse STARTED in RACF verwenden. Die Administratoren von WebSphere Message Broker und z/OS müssen dem Namen der gestarteten Task zustimmen.
  8. WebSphere Message Broker-Administratoren benötigen ein OMVS-Segment und ein Ausgangsverzeichnis. Überprüfen Sie die zuvor beschriebene Konfiguration.
  9. Die Benutzer-IDs für die gestartete Task und die WebSphere Message Broker-Administratoren müssen Zugriff auf die Verarbeitungsdateien für die Installation, die komponentenspezifischen Dateien und das Ausgangsverzeichnis der gestarteten Task haben. Während der Anpassung kann das Eigentumsrecht geändert werden, um den Gruppenzugriff zu ändern. Für diese Änderung ist unter Umständen Superuserberechtigung erforderlich.

Unter z/OS können Sie zur Ausführung einer Ausführungsgruppe eine alternative Benutzer-ID angeben, so dass die Ausführungsgruppe entsprechend der Berechtigungen dieser Benutzer-ID auf andere Ressourcen zugreifen kann als unter der Benutzer-ID des Hauptbrokers. Weitere Informationen hierzu finden Sie unter Benutzer-IDs für Ausführungsgruppen unter z/OS. Informationen zur Angabe einer Benutzer-ID für eine Ausführungsgruppe finden Sie im Abschnitt Alternative Benutzer-ID zur Ausführung einer Ausführungsgruppe unter z/OS angeben.

Wenn root als Servicebenutzer-ID verwendet wird, haben alle vom Broker geladenen Bibliotheken, einschließlich aller benutzerdefinierten Plug-in-Bibliotheken und aller gemeinsam genutzten Bibliotheken, auf die sie zugreifen, ebenfalls Root-Zugriff auf alle Systemressourcen (beispielsweise Dateigruppen). Überprüfen und bewerten Sie das Risiko, das mit der Erteilung dieser Berechtigungsstufe verbunden ist.

Bemerkungen | Marken | Downloads | Bibliothek | Support | Feedback

Copyright IBM Corporation 1999, 2014Copyright IBM Corporation 1999, 2014.

        
        Letzte Aktualisierung:
        
        Letzte Aktualisierung: 2015-02-28 16:22:53


TaskthemaTaskthema | Version 8.0.0.5 | be28920_