z/OS® でブローカーを作成するときには、セキュリティーをセットアップするために、適切な権限を持つブローカー・ユーザー ID を構成する必要があります。
以下のステップでは、z/OS でのブローカー・ユーザー ID の構成について順を追って説明します。
- ブローカーの開始済みタスク名を決定します。 この
名前は、開始済みタスク許可をセットアップするため、およびシステム・パフォーマンスを
管理するために使用されます。
- WebSphere® Message
Broker PDSE に合わせてデータ・セット命名規則を決定してください。 標準的な名前は、WMQI.MQP1BRK.CNTL などで、MQP1 はキュー・マネージャーです。
これらのデータ・セットへのアクセス権を、WebSphere Message
Broker、WebSphere MQ、および z/OS 管理者に与える必要があります。 アクセス権限の制御方法は、以下の例のように複数あります。
- 各ユーザーに特定のデータ・セットへの個別のアクセス権を与える。
- 一般データ・セット・プロファイル・プロファイルを定義し、管理者のユーザー ID を含むグループを定義する。 グループ制御アクセス権を一般データ・セット・プロファイルに付与する。
- z/OS 上のコンポーネントおよびリソースへのアクセスを構成します。
詳しくは、必須アクセスの要約 (z/OS)を参照してください。
- 外部セキュリティー・マネージャー (ESM)
データベースから情報を抽出して パブリッシュ/サブスクライブ・セキュリティーを使用可能にするために
このグループ用に OMVS グループ・セグメントを定義します。
- 開始済みタスク・ユーザー ID 用に OMVS セグメントを定義し、そのホーム・ディレクトリーには WebSphere Message
Broker メモリー・ダンプに備えて十分なスペースを設けます。
開始済みタスク・プロシージャー名を開始済みタスク・ユーザー ID として使用することを考慮します。
- OMVS セグメントが、次の TSO コマンドを使用することによって定義されることを検査してください。
LU userid OMVS
コマンド出力には OMVS セグメントが含まれます。以下に例を示します。
USER=MQP1BRK NAME=SMITH, JANE OWNER=TSOUSER
CREATED=99.342 DEFAULT-GROUP=TSOUSER PASSDATE=01.198
PASS-INTERVAL=30
......
OMVS INFORMATION
----------------
UID=0000070594
HOME=/u/MQP1BRK
PROGRAM=/bin/sh
CPUTIMEMAX=NONE
ASSIZEMAX=NONE
FILEPROCMAX=NONE
PROCUSERMAX=NONE
THREADSMAX=NONE
MMAPAREAMAX=NONE
以下のようなコマンドの場合、 df -P /u/MQP1BRK
使用されるスペースおよび使用可能なスペースの量が表示されます。ここで、/u/MQP1BRK は (前述の行の) HOME からの値です。 このコマンドは、ファイル・システムで現在使用可能なスペースの量を示します。
このスペースが十分であることをデータ管理者と確認してください。
メモリー・ダンプに備えて、
使用可能なブロックが最低 400 000 必要です。
- 開始済みタスク・プロシージャーを、使用されるユーザー ID に関連付けます。
例えば、RACF® の STARTED クラスを使用できます。
WebSphere Message
Broker および z/OS 管理者は、開始済みタスクの名前に同意していなければなりません。
- WebSphere Message
Broker 管理者には、OMVS セグメントおよびホーム・ディレクトリーが必要です。 前述のセットアップを検査してください。
- 開始済みタスク・ユーザー ID および WebSphere Message
Broker 管理者は、インストール処理ファイル、コンポーネント特定のファイル、および開始済みタスクのホーム・ディレクトリーに対するアクセス権限を持っている必要があります。カスタマイズ中、ファイルの所有権を変更し、グループ・アクセスを変更することができます。 この変更にはスーパーユーザー権限が必要です。
サービス利用者 ID が root の場合、ブローカーのロードするすべてのライブラリー (すべてのユーザー作成プラグイン・ライブラリーと、それらのライブラリーがアクセスする可能性のあるすべての共用ライブラリーを含む) も、すべてのシステム・リソース (ファイル・セットなど) に root アクセスできるようになります。 このレベルの許可を認可するときは、生じ得るリスクに配慮して判断してください。