WebSphere Message Broker Version 8.0.0.5 Betriebssysteme: AIX, HP-Itanium, Linux, Solaris, Windows, z/OS

Sehen Sie sich die Informationen zur aktuellen Produktversion im IBM Integration Bus Version 9.0 an.

Berechtigung auf z/OS-Systemen gewähren und entziehen

Sie können einer oder mehreren Benutzergruppen Berechtigungen gewähren oder entziehen, damit diese bestimmte Tasks für einen Broker ausführen bzw. nicht ausführen können, der unter z/OS ausgeführt wird.

Bevor Sie beginnen:

Aktivieren Sie die Sicherheit der Brokerverwaltung fr den Broker, bevor Sie die Berechtigung für Anforderungen, die an diesen Broker gesendet werden, gewähren und entziehen.

Konfigurieren Sie den externen Sicherheitsmanager, mit dem Sie in WebSphere MQ auf z/OS-Systemen die erforderlichen Berechtigungen erteilen. Bei Verwendung von RACF müssen Sie beispielsweise Profile mit den Informationen einrichten, die für die WebSphere MQ-Sicherheitsprüfungen erforderlich sind. Bei den Beispielen in diesem Abschnitt wird davon ausgegangen, dass Sie RACF verwenden.

Gehen Sie wie folgt vor:

  1. Aktivieren Sie die Sicherheit auf dem WS-Manager, der dem Broker zugeordnet ist.
  2. Aktivieren Sie die Sicherheit einer Warteschlange auf demselben WS-Manager:
    • Wenn Sie Profile in Großbuchstaben verwenden, müssen Sie Profile in MQQUEUE (Mitgliedsklasse) oder GMQQUEUE (Gruppenklasse) definieren.
    • Wenn Sie Profile in Groß-/Kleinschreibung verwenden, müssen Sie Profile in MXQUEUE (Mitgliedsklasse) oder GMXQUEUE (Gruppenklasse) definieren.
    Beispiel:
    • Definition des Brokerprofils für WS-Manager MQ01:
      RDEFINE MQQUEUE MQ01.SYSTEM.BROKER.AUTH UACC(NONE)
    • Definition des Profils für alle Ausführungsgruppen in WS-Manager MQ01:
      RDEFINE MXQUEUE MQ01.SYSTEM.BROKER.AUTH.** UACC(NONE)
    • Definition eines Profils für eine spezielle Ausführungsgruppe namens default für WS-Manager MQ01:
      RDEFINE MXQUEUE MQ01.SYSTEM.BROKER.AUTH.default UACC(NONE)
  3. Aktivieren Sie die WebSphere MQ-Klasse, damit vom Broker Sicherheitsprüfungen vorgenommen werden können. Aktivieren Sie beispielsweise die Klasse MQQUEUE:
    SETROPTS CLASSACT(MQQUEUE)
  4. Definieren Sie die WebSphere MQ-Berechtigungen. In der folgenden Tabelle ist die Zuordnung zwischen den Brokerberechtigungen, den zugehörigen WebSphere MQ-Berechtigungen und den zugehörigen RACF-Zugriffsstufen dargestellt.
    Brokerberechtigung WebSphere MQ-Berechtigung RACF-Zugriffsstufe
    Lesen Abfragen READ
    Schreiben Einreihen UPDATE
    Ausführen Festlegen ALTER

Beispiele

Alle hier gezeigten Beispiele sind Beispiele für einen Broker, der dem WS-Manager MQ01 zugeordnet ist.

Hinzufügen der Ausführungsberechtigung für Gruppe GROUP1 für den Broker:
PERMIT MQ01.SYSTEM.BROKER.AUTH CLASS(MQQUEUE) ID(GROUP1) ACCESS(ALTER)
Entfernen der Ausführungsberechtigung von Gruppe GROUP2 für den Broker:
PERMIT MQ01.SYSTEM.BROKER.AUTH CLASS(MQQUEUE) ID(GROUP2) ACCESS(ALTER) DEL
Hinzufügen der Schreibberechtigung zu Gruppe GROUP3 für alle Ausführungsgruppen:
PERMIT MQ01.SYSTEM.BROKER.AUTH.** CLASS(MXQUEUE) ID(GROUP3) ACCESS(UPDATE)
Entfernen der Schreibberechtigung von Gruppe GROUP4 für alle Ausführungsgruppen:
PERMIT MQ01.SYSTEM.BROKER.AUTH.** CLASS(MXQUEUE) ID(GROUP4) DEL
Hinzufügen der Leseberechtigung zu Gruppe GROUP5 für Ausführungsgruppe default:
PERMIT MQ01.SYSTEM.BROKER.AUTH.default CLASS(MXQUEUE) ID(GROUP5) ACCESS(READ)
Die folgende JCL-Datei zeigt eine Methode für die Überprüfung der RACF-Berechtigungen, die Sie für den Broker MQTEST festgelegt haben:
//RACFDUMP JOB ,MQTEST,USER=MQTEST,TIME=1,MSGCLASS=H       
//STEP1 EXEC PGM=IKJEFT01,REGION=64M,DYNAMNBR=99           
//SYSTSPRT DD SYSOUT=*                                     
//SYSTSIN   DD *                                            
 /* LIST ALL EXISTING PROFILES IN THE MQADMIN CLASS */     
 SEARCH CLASS(MQADMIN)                                     
 /* LIST UPPERCASE PROFILES IN THE MQQUEUE MEMBER CLASS */ 
 SEARCH CLASS(MQQUEUE)                                     
 /* LIST MIXED CASE PROFILES IN THE MQQUEUE MEMBER CLASS */
 SEARCH CLASS(MXQUEUE)                                     
 /* LIST THE QMGR PROFILE */                               
 RLIST MQADMIN MI09.NO.SUBSYS.SECURITY ALL                 
/*                                                         
Dieser JCL-Job kann Ergebnisse in etwa wie in folgender Ausgabe generieren:
READY                                                 
 /* LIST ALL EXISTING PROFILES IN THE MQADMIN CLASS */
READY                                                 
 SEARCH CLASS(MQADMIN)                                
EP00.NO.SUBSYS.SECURITY                               
EP01.NO.SUBSYS.SECURITY                               
EP02.NO.SUBSYS.SECURITY                               
EP03.NO.SUBSYS.SECURITY                               
EP04.NO.SUBSYS.SECURITY                               
MA00.NO.SUBSYS.SECURITY                               
MA01.NO.SUBSYS.SECURITY                               
MA02.NO.SUBSYS.SECURITY                               
MA03.NO.SUBSYS.SECURITY                               
MA04.NO.SUBSYS.SECURITY                               
MA05.NO.SUBSYS.SECURITY                               
MA06.NO.SUBSYS.SECURITY                               
MA07.NO.SUBSYS.SECURITY                               
MA08.NO.SUBSYS.SECURITY                               
MA09.NO.SUBSYS.SECURITY                               
MA10.NO.SUBSYS.SECURITY                               
MA11.ALTERNATE.USER.KMCMUL                            
MA11.ALTERNATE.USER.KMCMUL3                           
MA11.ALTERNATE.USER.MA15USR                           
MA11.CHANNEL.MA11.TO.REG1                             
MA11.CONTEXT                                          
MA11.NO.CMD.CHECKS                                    
MA11.NO.CMD.RESC.CHECKS                               
MA11.NO.CMDS.CHECKS        
MA11.NO.CMDS.RESC.CHECKS   
MA11.NO.SUBSYS.SECURITY    
MA11.RESLEVEL              
MA12.NO.SUBSYS.SECURITY    
MA13.NO.SUBSYS.SECURITY    
MA14.NO.SUBSYS.SECURITY    
MA15.NO.SUBSYS.SECURITY    
MA16.NO.SUBSYS.SECURITY    
MA17.NO.SUBSYS.SECURITY    
MA18.NO.SUBSYS.SECURITY    
MA19.NO.SUBSYS.SECURITY    
MA20.NO.SUBSYS.SECURITY    
MI00.NO.SUBSYS.SECURITY    
MI01.NO.SUBSYS.SECURITY    
MI02.NO.SUBSYS.SECURITY    
MI03.NO.SUBSYS.SECURITY    
MI04.NO.SUBSYS.SECURITY    
MI05.NO.SUBSYS.SECURITY    
MI06.NO.SUBSYS.SECURITY    
MI07.NO.SUBSYS.SECURITY    
MI08.NO.SUBSYS.SECURITY    
MI09.ALTERNATE.USER.MI09STC
MI09.ALTERNATE.USER.NHARRIS
MI09.NO.CMD.CHECKS         
MI09.NO.CONNECT.CHECKS     
MI09.NO.CONTEXT.CHECKS     
MI09.NO.SUBSYS.SECURITY                                   
MI10.NO.SUBSYS.SECURITY                                   
MI11.NO.SUBSYS.SECURITY                                   
MI12.NO.SUBSYS.SECURITY                                   
MI13.NO.SUBSYS.SECURITY                                   
MI14.NO.SUBSYS.SECURITY                                   
MI15.NO.SUBSYS.SECURITY                                   
MI16.NO.SUBSYS.SECURITY                                   
MI17.NO.SUBSYS.SECURITY                                   
MI18.NO.SUBSYS.SECURITY                                   
MI19.NO.SUBSYS.SECURITY                                   
MI20.NO.SUBSYS.SECURITY                                   
MI09.CHANNEL.** (G)                                       
MI09.QUEUE.** (G)                                         
READY                                                     
 /* LIST UPPERCASE PROFILES IN THE MQQUEUE MEMBER CLASS */
READY                                                     
 SEARCH CLASS(MQQUEUE)                                    
MA11.INPUT2.QUEUE                                         
MA11.KMBRK                                                
MA11.MA11.DEAD.QUEUE                                      
MA11.MA15                                                 
MA11.REG1                                                 
MA11.SUBSCRIBER.RESULTS.QUEUE                             
MA11.SUBSCRIBER3.RESULTS.QUEUE                            
MA11.SUBSCRIBER4.RESULTS.QUEUE                            
MA11.SUBSCRIBER5.RESULTS.QUEUE                            
MA11.SUBSCRIBER6.RESULTS.QUEUE                             
MA11.SUBSCRIBER9.RESULTS.QUEUE                             
MA11.SYSTEM.CHANNEL.EVENT                                  
MA11.SYSTEM.CHANNEL.SYNCQ                                  
MA11.SYSTEM.CLUSTER.COMMAND.QUEUE                          
MA11.SYSTEM.COMMAND.INPUT                                  
MA11.SYSTEM.COMMAND.REPLY.MODEL                            
MI09.SYSTEM.BROKER.AUTH.SECURITY_EXE                       
MA11.SYSTEM.BROKER.** (G)                                  
MA11.SYSTEM.** (G)                                         
MA11.** (G)                                                
MI09.** (G)                                                
READY                                                      
 /* LIST MIXED CASE PROFILES IN THE MQQUEUE MEMBER CLASS */
READY                                                      
 SEARCH CLASS(MXQUEUE)                                     
NO ENTRIES MEET SEARCH CRITERIA                            
READY                                                      
 /* LIST THE QMGR PROFILE */                               
READY                                                      
 RLIST MQADMIN MI09.NO.SUBSYS.SECURITY ALL                 
CLASS      NAME                                            
-----      ----                                            
MQADMIN    MI09.NO.SUBSYS.SECURITY                         
                                                           
GROUP CLASS NAME                                           
----- ----- ----                                           
GMQADMIN                                                
                                                        
RESOURCE GROUPS                                         
-------- ------                                         
NONE                                                    
                                                        
LEVEL  OWNER      UNIVERSAL ACCESS  YOUR ACCESS  WARNING
-----  --------   ----------------  -----------  -------
 00    MQTEST          NONE               NONE    NO    
                                                        
INSTALLATION DATA                                       
-----------------                                       
NONE                                                    
                                                        
APPLICATION DATA                                        
----------------                                        
NONE                                                    
                                                        
SECLEVEL                                                
--------                                                
NO SECLEVEL                                             
                                                        
CATEGORIES                                              
----------                                              
NO CATEGORIES                                           
                                                        
SECLABEL                                                
--------                                                                       
NO SECLABEL                                                                    
                                                                               
AUDITING                                                                       
--------                                                                       
FAILURES(READ)                                                                 
                                                                               
NOTIFY                                                                         
------                                                                         
NO USER TO BE NOTIFIED                                                         
                                                                               
CREATION DATE  LAST REFERENCE DATE  LAST CHANGE DATE                           
 (DAY) (YEAR)       (DAY) (YEAR)      (DAY) (YEAR)                             
-------------  -------------------  ----------------                           
  237    09          237    09         237    09                               
                                                                               
ALTER COUNT   CONTROL COUNT   UPDATE COUNT   READ COUNT                        
-----------   -------------   ------------   ----------                        
  000000         000000         000000         000000                          
                                                                               
USER      ACCESS   ACCESS COUNT                                                
----      ------   ------ -----                                                
NO USERS IN ACCESS LIST                                                        
                                                                               
   ID     ACCESS  ACCESS COUNT  CLASS                   ENTITY  NAME           
-------- -------  ------------ -------- ---------------------------------------
NO ENTRIES IN CONDITIONAL ACCESS LIST                                          
READY 
END   
Bemerkungen | Marken | Downloads | Bibliothek | Support | Feedback

Copyright IBM Corporation 1999, 2014Copyright IBM Corporation 1999, 2014.

        
        Letzte Aktualisierung:
        
        Letzte Aktualisierung: 2015-02-28 16:23:19


TaskthemaTaskthema | Version 8.0.0.5 | bp43650_