Folgende Verzeichnisberechtigungen sind für alle Broker erforderlich:
- Lese- und Ausführungszugriff (READ und EXECUTE) auf
<INSTPATH>; dabei ist <INSTPATH> das
Verzeichnis, in dem unter Verwendung von SMP/E WebSphere Message
Broker
for z/OS installiert ist.
- Lese-, Schreib- und Ausführungszugriff (READ, WRITE
und EXECUTE) auf das Komponentenverzeichnis ++COMPONENTDIRECTORY++.
- Lese- und Schreibzugriff (READ und WRITE) auf das Ausgangsverzeichnis.
- Lese- und Schreibzugriff (READ und WRITE) auf das über ++HOME++ angegebene Verzeichnis.
- In UNIX System Services müssen die Benutzer-ID der gestarteten Task und die Benutzer-ID des WebSphere Message
Broker-Administrators zu den Gruppen gehören, die Zugriff auf die Installations- und Komponentenverzeichnisse haben, da beide IDs Zugriffsberechtigungen für diese Ressourcen benötigen. Der Eigner dieser Verzeichnisse muss
dieser Gruppe die erforderlichen Berechtigungen erteilen.
Alle Broker benötigen die folgenden RACF-Berechtigungen:
- Lese- und Schreibzugriff (READ und WRITE) auf die RACF-Klasse BPX.SMF, wenn Sie für die Abrechnung und Statistiken SMF 117-Datensätze erstellen müssen.
- Lesezugriff (READ) auf die CSFRNG-Ressource in der CSFSERV-Klasse ist erforderlich.
Lesezugriff (READ) auf die Komponenten-PDSE ist erforderlich.
WebSphere MQ-Berechtigungen
Aktivieren Sie die WebSphere MQ-Sicherheitsfunktion zum Schutz Ihrer WebSphere MQ-Ressourcen. Nachdem alle WebSphere MQ-Sicherheitsschalter aktiviert wurden, müssen Sie die folgenden Profile definieren und der Benutzer-ID der gestarteten Tasks für jedes Profil die hier aufgeführten Zugriffsrechte erteilen. In den aufgeführten Profilberechtigungen steht <MQ_QMNAME> für den
WebSphere MQ-Warteschlangenmanager, mit dem die
WebSphere Message
Broker-Komponente verbunden ist.
TASKID steht für die Benutzer-ID der gestarteten Task.
- Sicherheit beim Verbindungsaufbau: Lesezugriff (READ)
auf das Profil <MQ_QMNAME>.BATCH der Klasse
MQCONN. Verwenden Sie beispielsweise
RACF-Befehle für den
Warteschlangenmanager MQP1 und für TASKID, die ID der gestarteten
Task:
RDEFINE MQCONN MQP1.BATCH UACC(NONE)
PERMIT MQP1.BATCH CLASS(MQCONN) ID(TASKID) ACCESS(READ)
- Verbindungssicherheit bei der Verwendung von inhaltsbasierten Filtern mit Publish/Subscribe: Aktualisierungszugriff UPDATE auf das Profil <MQ_QMNAME>.BATCH der KlasseMQCONN. Für den Warteschlangenmanager MQP1 und die ID TASKID der gestarteten Task beispielsweise werden die folgenden RACF-Befehle eingegeben:
RDEFINE MQCONN MQP1.BATCH UACC(NONE)
PERMIT MQP1.BATCH CLASS(MQCONN) ID(TASKID) ACCESS(UPDATE)
- Warteschlangensicherheit: Aktualisierungszugriff
(UPDATE) auf das Profil
<MQ_QMNAME>.queue der Klasse MQQUEUE für alle
Warteschlangen. Sie können beispielsweise Profile für die folgenden Warteschlangen erstellen:
- Alle Komponentenwarteschlangen durch die Verwendung des generischen Profils SYSTEM.BROKER.**
- Alle Übertragungswarteschlangen, die Sie zwischen den Warteschlangenmanagern der Komponenten definiert haben.
- Alle Warteschlangen, die Sie in Nachrichtenflüssen angegeben haben.
- Warteschlangen für nicht zustellbare Nachrichten.
- Modellwarteschlangen.
Beispiel: Verwenden Sie für den
Warteschlangenmanager MQP1 und für TASKID, die ID der gestarteten
Task, die folgenden
RACF-Befehle, um den
Zugriff auf die Komponentenwarteschlangen zu beschränken: RDEFINE MQQUEUE MQP1.SYSTEM.BROKER.** UACC(NONE)
PERMIT MQP1.SYSTEM.BROKER.** CLASS(MQQUEUE) ID(TASKID) ACCESS(UPDATE)
- Kontextsicherheit: Steuerungszugriff (CONTROL) auf
das Profil <MQ_QMNAME>.CONTEXT der Klasse
MQADMIN. Verwenden Sie
beispielsweise die folgenden
RACF-Befehle für den
Warteschlangenmanager MQP1 und für TASKID, die ID der gestarteten
Task:
RDEFINE MQADMIN MQP1.CONTEXT UACC(NONE)
PERMIT MQP1.CONTEXT.** CLASS(MQADMIN) ID(TASKID) ACCESS(CONTROL)
- Sicherheit bei Verwendung alternativer Benutzer: Definieren Sie die alternative
Benutzerberechtigung wie folgt: Aktualisierungszugriff
(UPDATE) auf das Profil <MQ_QMNAME>.ALTERNATE.USER.id der Klasse MQADMIN;
dabei steht id für die ID der Starttask der Brokerkomponente. Verwenden Sie beispielsweise folgende
RACF-Befehle für den
Warteschlangenmanager MQP1 und für TASKID, die ID der gestarteten
Task, und die Konfigurationsservice-ID CFGID:
RDEFINE MQADMIN MQP1.ALTERNATE.USER.CFGID UACC(NONE)
PERMIT MQP1.ALTERNATE.USER.CFGID CLASS(MQADMIN) ID(TASKID) ACCESS(UPDATE)
Aktualisierungszugriff (UPDATE) auf das Profil
<MQ_QMNAME>.ALTERNATE.USER.id der Klasse MQADMIN;
dabei steht id beispielsweise für die Benutzer-ID einer
Publish/Subscribe-Anforderung.
- Prozess- und Namenslistensicherheit: Wenn Sie in Ihrem System
WebSphere MQ-Sicherheitsschalter für Prozess- und
Namenslistensicherheit aktiviert haben, müssen Sie in einer
WebSphere Message
Broker-Standardkonfiguration keine Zugriffsprofile
definieren.
- Themensicherheit:
- Erstellen Sie ein RACF-Profil, um die Veröffentlichung und Subskription des administrativen MQ-Themas SYSTEM.BROKER.MB.TOPIC zu steuern:
RDEFINE MXTOPIC <MQ_QMNAME>.PUBLISH.SYSTEM.BROKER.MB.TOPIC UACC(NONE)
RDEFINE MXTOPIC <MQ_QMNAME>.SUBSCRIBE.SYSTEM.BROKER.MB.TOPIC UACC(NONE)
- Erteilen Sie der ID der gestarteten Task für den Broker die Funktion zur Veröffentlichung zu diesem Thema:
PERMIT <MQ_QMNAME>.PUBLISH.SYSTEM.BROKER.MB.TOPIC CLASS(MXTOPIC) ID(TASKID) ACCESS(UPDATE)
- Erlauben Sie den Broker die Subskription seiner eigenen Themen:
PERMIT <MQ_QMNAME>.SUBSCRIBE.SYSTEM.BROKER.MB.TOPIC CLASS(MXTOPIC) ID(TASKID) ACCESS(ALTER)
- Erlauben Sie optional weiteren Benutzern mit dem Befehl PERMIT wie oben die Subskription dieser Themen für die zusätzlichen Benutzer-IDs (erforderlich für Webbenutzer oder für externe Nutzer von Ereignissen).
Benutzer, die entweder über den
WebSphere Message
Broker Explorer, dasWebSphere Message
Broker Toolkit oder
eine
CMP-API-Anwendung über Fernzugriff eine Verbindung zum Broker
unter
z/OS herstellen, benötigen die folgende Berechtigungen.
Konfigurationsmanager-Proxy-Anwendungen enthalten Befehle, die diese Schnittstelle verwenden:
mqsichangeresourcestats, mqsicreateexecutiongroup,
mqsideleteexecutiongroup,
mqsideploy,
mqsilist, mqsimode,
mqsireloadsecurity,
mqsireportresourcestats, mqsistartmsgflow und
mqsistopmsgflow.
- Verbindungssicherheit: Lesezugriff (READ) auf das
Profil <MQ_QMNAME>.CHIN der Klasse MQCONN. Verwenden Sie
beispielsweise die folgenden
RACF-Befehle für den
Warteschlangenmanager MQP1 und für TASKID, die ID der gestarteten
Task:
RDEFINE MQCONN MQP1.CHIN UACC(NONE)
PERMIT MQP1.CHIN CLASS(MQCONN) ID(TASKID) ACCESS(READ)
- Sicherheit bei Verwendung alternativer Benutzer: Definieren Sie die alternative
Benutzerberechtigung wie folgt: Aktualisierungszugriff
(UPDATE) auf das Profil
<MQ_QMNAME>.ALTERNATE.USER.id der Klasse MQADMIN;
dabei steht id für die Benutzer-ID der
WebSphere Message
Broker Toolkit- oder
CMP-API-Anwendung. Beispiel: Geben Sie für den
Warteschlangenmanager MQP1, die ID TASKID der gestarteten Task
und die Benutzer-ID USERID folgende
RACF-Befehle ein:
RDEFINE MQADMIN MQP1.ALTERNATE.USER.USERID UACC(NONE)
PERMIT MQP1.ALTERNATE.USER.USERID CLASS(MQADMIN) ID(TASKID) ACCESS(UPDATE)