WebSphere Message Broker バージョン 8.0.0.5 オペレーティング・システム: AIX、HP-Itanium、Linux、Solaris、Windows、z/OS

製品の最新バージョンについては、IBM Integration Bus バージョン 9.0 をご覧ください。

必須アクセスの要約 (z/OS)

組織内の専門家は、 z/OS® 上のコンポーネントおよびリソースにアクセスする必要があります。

WebSphere Message Broker 開始済みタスク・ユーザー ID に必要な許可

以下のディレクトリー許可はすべてのブローカーに必要です。
  • <INSTPATH> への READ および EXECUTE アクセス。<INSTPATH> は、WebSphere® Message Broker for z/OS が SMP/E によってインストールされたディレクトリーです。
  • コンポーネント・ディレクトリー ++COMPONENTDIRECTORY++ への READWRITE、および EXECUTE アクセス。
  • ホーム・ディレクトリーへの READ および WRITE アクセス。
  • ++HOME++ で示されるディレクトリーへの READ および WRITE アクセス。
  • UNIX システム・サービスでは、開始済みタスク・ユーザー ID および WebSphere Message Broker 管理者ユーザー ID の両方が、インストールおよびコンポーネント・ディレクトリーにアクセスできるグループのメンバーであることが必要です。 これは、両方ともこれらのリソースを扱う特権が必要であるためです。 これらのディレクトリーの所有者は、このグループに適切な許可を与える必要があります。
すべてのブローカーには次の RACF® 権限が必要です。
  • アカウンティングと統計用に SMF 117 レコードの作成が必要な場合の RACF クラス BPX.SMF への READ および WRITE アクセス。
  • CSFSERV クラスの CSFRNG リソースへの READ アクセス。

コンポーネント PDSE への READ アクセスが必要です。

WebSphere MQ 許可

WebSphere MQ リソースを保護するため、WebSphere MQ セキュリティーを使用可能にします。 すべての WebSphere MQ セキュリティー・スイッチが使用可能な場合、次のプロファイルを定義し、開始済みタスク・ユーザー ID に、各プロファイルへのリストされるアクセスを付与します。 リストされる各プロファイル・アクセスでは、<MQ_QMNAME> は、WebSphere Message Broker コンポーネントが接続される WebSphere MQ キュー・マネージャーを、TASKID は、開始済みタスク・ユーザー ID を表します。

  • 接続セキュリティー: クラス MQCONN のプロファイル <MQ_QMNAME>.BATCH への READ アクセス。 例えば、 キュー・マネージャー MQP1 および開始済みタスク ID TASKID には、 次のように RACF コマンドを使用します。
    RDEFINE MQCONN MQP1.BATCH UACC(NONE)
    PERMIT MQP1.BATCH CLASS(MQCONN) ID(TASKID) ACCESS(READ)
  • パブリッシュ/サブスクライブでの内容ベース・フィルターの使用時の接続セキュリティー: クラス MQCONN のプロファイル <MQ_QMNAME>.BATCH への UPDATE アクセス。 例えば、 キュー・マネージャー MQP1 および開始済みタスク ID TASKID には、 次のように RACF コマンドを使用します。
    RDEFINE MQCONN MQP1.BATCH UACC(NONE)
    PERMIT MQP1.BATCH CLASS(MQCONN) ID(TASKID) ACCESS(UPDATE)
  • キュー・セキュリティー: すべてのキューのクラス MQQUEUE のプロファイル <MQ_QMNAME>.queue への UPDATE アクセス。 次のキューでのプロファイル作成を考慮します。
    • 総称プロファイル SYSTEM.BROKER.** を使用するすべてのコンポーネント・キュー
    • コンポーネント・キュー・マネージャー間で定義したすべての伝送キュー
    • メッセージ・フローで指定したすべてのキュー
    • デッド・レター・キュー
    • モデル・キュー。
    例えば、キュー・マネージャー MQP1 および開始済みタスク ID TASKID には、 次のように RACF コマンドを使用して、コンポーネント・キューへのアクセスを制限します。
    RDEFINE MQQUEUE MQP1.SYSTEM.BROKER.** UACC(NONE)
    PERMIT MQP1.SYSTEM.BROKER.** CLASS(MQQUEUE) ID(TASKID) ACCESS(UPDATE)
  • コンテキスト・セキュリティー: クラス MQADMIN のプロファイル <MQ_QMNAME>.CONTEXT への CONTROL アクセス。 例えば、 キュー・マネージャー MQP1 および開始済みタスク ID TASKID には、 次の RACF コマンドを使用します。
    RDEFINE MQADMIN MQP1.CONTEXT UACC(NONE)
    PERMIT MQP1.CONTEXT.** CLASS(MQADMIN) ID(TASKID) ACCESS(CONTROL) 
  • 代替ユーザー・セキュリティー: 次のように代替ユーザー権限を定義します。クラス MQADMIN のプロファイル <MQ_QMNAME>.ALTERNATE.USER.id への UPDATE アクセス。id は、ブローカー・コンポーネントの開始タスク ID を表します。例えば、キュー・マネージャー MQP1、開始済みタスク ID TASKID および構成サービス ID CFGID には、 次の RACF コマンドを使用します。
    RDEFINE MQADMIN MQP1.ALTERNATE.USER.CFGID UACC(NONE)
    PERMIT MQP1.ALTERNATE.USER.CFGID  CLASS(MQADMIN) ID(TASKID) ACCESS(UPDATE) 
    クラス MQADMIN のプロファイル <MQ_QMNAME>.ALTERNATE.USER.id への UPDATE アクセス。id は、パブリッシュ/サブスクライブ要求など、要求のユーザー ID を表します。
  • プロセスおよび名前リスト・セキュリティー: WebSphere MQ セキュリティー・スイッチをシステムのプロセスおよび名前リスト・セキュリティーで使用可能にしている場合、 WebSphere Message Broker デフォルト構成でアクセス・プロファイルを定義する必要はありません。
  • トピックのセキュリティー:
    • 以下のようにして、管理 MQ トピック SYSTEM.BROKER.MB.TOPIC のパブリッシュおよびサブスクライブを制御する RACF プロファイルを作成します。
      RDEFINE MXTOPIC <MQ_QMNAME>.PUBLISH.SYSTEM.BROKER.MB.TOPIC UACC(NONE)
      RDEFINE MXTOPIC <MQ_QMNAME>.SUBSCRIBE.SYSTEM.BROKER.MB.TOPIC UACC(NONE)
    • 以下のようにして、ブローカーの開始タスク ID に、このトピックのパブリッシュ権限を付与します。
      PERMIT <MQ_QMNAME>.PUBLISH.SYSTEM.BROKER.MB.TOPIC CLASS(MXTOPIC) ID(TASKID) ACCESS(UPDATE)
    • 以下のようにして、ブローカーが自身のトピックにサブスクライブできるようにします。
      PERMIT <MQ_QMNAME>.SUBSCRIBE.SYSTEM.BROKER.MB.TOPIC CLASS(MXTOPIC) ID(TASKID) ACCESS(ALTER)
    • オプションで、(Web ユーザーまたはイベントの外部コンシューマーに必要な) トピックに追加のユーザーがサブスクライブできるようにするために、追加のユーザー ID に関して上記のように PERMIT を行います。
WebSphere Message Broker ExplorerWebSphere Message Broker Toolkit または CMP API アプリケーションから z/OS 上のブローカーにリモート接続するユーザーの場合、以下の権限が必要です。 CMP アプリケーションには、そのインターフェースを使用するコマンドが含まれています。すなわち、mqsichangeresourcestatsmqsicreateexecutiongroupmqsideleteexecutiongroupmqsideploy mqsilist mqsimodemqsireloadsecuritymqsireportresourcestatsmqsistartmsgflow、および mqsistopmsgflow です。
  • 接続セキュリティー: クラス MQCONN のプロファイル <MQ_QMNAME>.CHIN への READ アクセス。 例えば、 キュー・マネージャー MQP1 および開始済みタスク ID TASKID には、 次の RACF コマンドを使用します。
    RDEFINE MQCONN MQP1.CHIN UACC(NONE)
    PERMIT MQP1.CHIN CLASS(MQCONN) ID(TASKID) ACCESS(READ)
  • 代替ユーザー・セキュリティー: 次のように代替ユーザー権限を定義します。 クラス MQADMIN のプロファイル <MQ_QMNAME>.ALTERNATE.USER.id への UPDATE アクセス。id は、WebSphere Message Broker Toolkit またはCMP API・アプリケーションのユーザー ID を表します。 例えば、 キュー・マネージャー MQP1、開始済みタスク ID TASKID、およびユーザー ID USERID には、 次の RACF コマンドを使用します。
    RDEFINE MQADMIN MQP1.ALTERNATE.USER.USERID UACC(NONE)
    PERMIT MQP1.ALTERNATE.USER.USERID  CLASS(MQADMIN) ID(TASKID) ACCESS(UPDATE)

WebSphere Message Broker 管理者に必要な許可

ブローカー管理者には以下の権限が必要です。

  • コンポーネント PDSE への ALTER アクセス。
  • コンポーネント・ディレクトリー ++COMPONENTDIRECTORY++ への READWRITE、および EXECUTE アクセス。
  • <INSTPATH> への READ および EXECUTE アクセス。<INSTPATH> は、WebSphere Message Broker for z/OS が SMP/E によってインストールされたディレクトリーです。
  • ++HOME++ で示されるディレクトリーへの READ および WRITE アクセス。
  • UNIX システム・サービスでは、開始済みタスク・ユーザー ID および WebSphere Message Broker 管理者ユーザー ID の両方が、インストールおよびコンポーネント・ディレクトリーにアクセスできるグループのメンバーであることが必要です。 これは、両方ともこれらのリソースを扱う特権が必要であるためです。 これらのディレクトリーの所有者は、このグループに適切な許可を与える必要があります。 さらに、WebSphere Message Broker 管理者は、開始済みタスク・ユーザー ID の 1 次グループであるグループのメンバーでなければなりません。

WebSphere MQ 管理者に必要な許可

WebSphere MQ 管理者がブローカーの作成時に WebSphere MQ パスを実行する場合は、管理者ユーザー ID には以下の権限が必要です。 あるいは、WebSphere Message Broker 管理者に WebSphere MQパスを実行する権限を付与することもできます。
  • コンポーネント PDSE への ALTER アクセス。
  • ディレクトリー許可:
    • <INSTPATH> への READ および EXECUTE アクセス。<INSTPATH> は、WebSphere Message Broker for z/OS が SMP/E によってインストールされたディレクトリーです。
    • コンポーネント・ディレクトリー ++COMPONENTDIRECTORY++ への READWRITE、および EXECUTE アクセス。
    • ++HOME++ で示されるディレクトリーへの READ および WRITE アクセス。
WebSphere MQ リソースを保護するため、WebSphere MQ セキュリティーを使用可能にします。 すべての WebSphere MQ セキュリティー・スイッチが使用可能な場合、次のプロファイルを定義し、WebSphere MQ 管理者が WebSphere MQ 構成ジョブを実行するため、各プロファイルへのリストされるアクセスを付与します。 リストされる各プロファイル・アクセスの場合、MQ_QMNAMEWebSphere Message Broker コンポーネントが接続される WebSphere MQ キュー・マネージャー、MQADMINWebSphere MQ 管理者 ID を表します。
  • 接続セキュリティー: クラス MQCONN のプロファイル <MQ_QMNAME>.BATCH への READ アクセス。 例えば、 キュー・マネージャー MQP1 および WebSphere MQ 管理者 ID MQADMIN には、 次の RACF コマンドを使用します。
    RDEFINE MQCONN MQP1.BATCH UACC(NONE)
    PERMIT MQP1.BATCH CLASS(MQCONN) ID(MQADMIN) ACCESS(READ)
  • キュー・セキュリティー: 作成または削除されるコンポーネント・キューのクラス MQQUEUE のプロファイル <MQ_QMNAME>.queue への UPDATE アクセス。 総称プロファイル SYSTEM.BROKER.** を作成できます。 例えば、キュー・マネージャー MQP1 および WebSphere MQ 管理者 ID MQADMIN については、 次のように RACF コマンドを使用して、コンポーネント・キューへのアクセスを制限します。
    RDEFINE MQQUEUE MQP1.SYSTEM.BROKER.** UACC(NONE)
    PERMIT MQP1.SYSTEM.BROKER.** CLASS(MQQUEUE) ID(MQADMIN) ACCESS(UPDATE) 
  • システム・コマンド・サーバー: SYSTEM.COMMAND.** のクラス MQQUEUE のプロファイル <MQ_QMNAME>.queue への UPDATE アクセス。 例えば、 キュー・マネージャー MQP1 および WebSphere MQ 管理者 ID MQADMIN には、 次のように RACF コマンドを使用して、システム・コマンド・サーバーへのアクセスを制限します。
    RDEFINE MQQUEUE MQP1.SYSTEM.COMMAND.** UACC(NONE)
    PERMIT MQP1.SYSTEM.COMMAND.** CLASS(MQQUEUE) ID(MQADMIN) ACCESS(UPDATE) 
    作成/削除ジョブ中に使用されるいくつかのシステム・キューのクラス MQQUEUE のプロファイル <MQ_QMNAME>.queue への UPDATE アクセス。 総称プロファイル <MQ_QMNAME>.** を作成できます。
  • コマンド・セキュリティー:
    • 必要なコンポーネントの作成時に WebSphere MQ パスを実行するには、次のようにします。
      • クラス MQCMDS<MQ_QMNAME>.DEFINE.QLOCAL への ALTER アクセス。
      • クラス MQCMDS<MQ_QMNAME>.DEFINE.QMODEL への ALTER アクセス。
      • クラス MQCMDS<MQ_QMNAME>.DEFINE.CHANNEL への ALTER アクセス。
    • 必要なコンポーネントの削除時に WebSphere MQ パスを実行するには、次のようにします。
      • クラス MQCMDS<MQ_QMNAME>.DELETE.QLOCAL への ALTER アクセス。
      • クラス MQCMDS<MQ_QMNAME>.DELETE.QMODEL への ALTER アクセス。
      • クラス MQCMDS<MQ_QMNAME>.DELETE.CHANNEL への ALTER アクセス。
    キュー・マネージャー MQP1 および WebSphere MQ 管理者 ID MQADMIN には、 次の RACF コマンドを使用します。
    RDEFINE MQCMDS MQP1.DELETE.QLOCAL UACC(NONE)
    PERMIT MQP1.DELETE.QLOCAL CLASS(MQCMDS) ID(MQADMIN) ACCESS(ALTER)
  • リソース・コマンド・セキュリティー: 作成または削除される各キューごとに、クラス MQADMINMQP1.QUEUE.queue への ALTER アクセス。 総称プロファイル SYSTEM.BROKER.** を作成できます。 例えば、キュー・マネージャー MQP1 および WebSphere MQ 管理者 ID MQADMIN には、RACF コマンドを使用します。
    RDEFINE MQADMIN MQP1.QUEUE.SYSTEM.BROKER.** UACC(NONE)
    PERMIT MQP1.QUEUE.SYSTEM.BROKER.** CLASS(MQADMIN) ID(MQADMIN) ACCESS(ALTER)
  • プロセスおよび名前リスト・セキュリティー: WebSphere MQ セキュリティー・スイッチをシステムのプロセスおよび名前リスト・セキュリティーで使用可能にしている場合、 WebSphere Message Broker デフォルト構成でアクセス・プロファイルを定義する必要はありません。
特記事項 | 商標 | ダウンロード | ライブラリー | サポート | フィードバック

Copyright IBM Corporation 1999, 2014Copyright IBM Corporation 1999, 2014.

        
        最終更新:
        
        最終更新: 2015-02-28 17:47:00


参照トピック参照トピック | バージョン 8.0.0.5 | ae14040_