WebSphere Message Broker バージョン 8.0.0.5 オペレーティング・システム: AIX、HP-Itanium、Linux、Solaris、Windows、z/OS

製品の最新バージョンについては、IBM Integration Bus バージョン 9.0 をご覧ください。

z/OS のシステムでの権限の付与と取り消し

z/OS® で稼働しているブローカーに対する特定のタスクを実行するための権限を 1 つ以上のグループまたはユーザーに付与したり、その権限を取り消したりします。

始める前に:

ブローカーに送信する要求に関する権限を付与したり取り消したりする前に、ブローカー管理セキュリティーをアクティブ化します。

WebSphere® MQ と一緒に使用している外部セキュリティー・マネージャー (ESM) を構成して、z/OS システムで必要なアクセス権を設定します。 例えば、RACF® を使用している場合は、WebSphere MQ のセキュリティー検査で必要な情報を格納したプロファイルをセットアップします。 このトピックでは、 RACF の使用を前提とした例を示します。

以下のステップを実行します。

  1. ブローカーに関連するキュー・マネージャーでセキュリティーをアクティブ化します。
  2. 同じキュー・マネージャーでキューのセキュリティーをアクティブ化します。
    • 大文字のプロファイルを使用する場合は、MQQUEUE (メンバー・クラス) または GMQQUEUE (グループ・クラス) でプロファイルを定義する必要があります。
    • 大/小文字混合のプロファイルを使用する場合は、MXQUEUE (メンバー・クラス) または GMXQUEUE (グループ・クラス) でプロファイルを定義する必要があります。
    以下に例を示します。
    • キュー・マネージャー MQ01 のブローカー・プロファイルを定義します。
      RDEFINE MQQUEUE MQ01.SYSTEM.BROKER.AUTH UACC(NONE)
    • キュー・マネージャー MQ01 のすべての実行グループのプロファイルを定義します。
      RDEFINE MXQUEUE MQ01.SYSTEM.BROKER.AUTH.** UACC(NONE)
    • キュー・マネージャー MQ01default という特定の実行グループのプロファイルを定義します。
      RDEFINE MXQUEUE MQ01.SYSTEM.BROKER.AUTH.default UACC(NONE)
  3. WebSphere MQ クラスをアクティブ化して、ブローカーがセキュリティー検査を実行できるようにします。 例えば、クラス MQQUEUE をアクティブ化します。
    SETROPTS CLASSACT(MQQUEUE)
  4. WebSphere MQ 許可を定義します。 ブローカー許可、関連する WebSphere MQ 権限、関連する RACF アクセス・レベルの対応関係を以下の表にまとめます。
    ブローカー許可 WebSphere MQ 許可 RACF アクセス・レベル
    読み取り 照会 READ
    書き込み 書き込み UPDATE
    Execute セット ALTER

ここで示した例はすべて、キュー・マネージャー MQ01 に関連付けられたブローカーを対象としています。

ブローカーに対する実行許可をグループ GROUP1 に追加します。
PERMIT MQ01.SYSTEM.BROKER.AUTH CLASS(MQQUEUE) ID(GROUP1) ACCESS(ALTER)
ブローカーに対するブローカー実行許可をグループ GROUP2 から除去します。
PERMIT MQ01.SYSTEM.BROKER.AUTH CLASS(MQQUEUE) ID(GROUP2) ACCESS(ALTER) DEL
すべての実行グループに対する書き込み許可をグループ GROUP3 に追加します。
PERMIT MQ01.SYSTEM.BROKER.AUTH.** CLASS(MXQUEUE) ID(GROUP3) ACCESS(UPDATE)
すべての実行グループに対する書き込み許可をグループ GROUP4 から除去します。
PERMIT MQ01.SYSTEM.BROKER.AUTH.** CLASS(MXQUEUE) ID(GROUP4) DEL
default という特定の実行グループに対する読み取り許可をグループ GROUP5 に追加します。
PERMIT MQ01.SYSTEM.BROKER.AUTH.default CLASS(MXQUEUE) ID(GROUP5) ACCESS(READ)
ブローカー MQTEST で設定した RACF 許可を確認できる JCL ファイルの一例を以下に示します。
//RACFDUMP JOB ,MQTEST,USER=MQTEST,TIME=1,MSGCLASS=H       
//STEP1 EXEC PGM=IKJEFT01,REGION=64M,DYNAMNBR=99           
//SYSTSPRT DD SYSOUT=*                                     
//SYSTSIN  DD *                                            
 /* LIST ALL EXISTING PROFILES IN THE MQADMIN CLASS */     
 SEARCH CLASS(MQADMIN)                                     
 /* LIST UPPERCASE PROFILES IN THE MQQUEUE MEMBER CLASS */ 
 SEARCH CLASS(MQQUEUE)                                     
 /* LIST MIXED CASE PROFILES IN THE MQQUEUE MEMBER CLASS */
 SEARCH CLASS(MXQUEUE)                                     
 /* LIST THE QMGR PROFILE */                               
 RLIST MQADMIN MI09.NO.SUBSYS.SECURITY ALL                 
/*                                                         
この JCL ジョブでは、以下のような出力結果が生成される可能性があります。
READY                                                 
 /* LIST ALL EXISTING PROFILES IN THE MQADMIN CLASS */
READY                                                 
 SEARCH CLASS(MQADMIN)                                
EP00.NO.SUBSYS.SECURITY                               
EP01.NO.SUBSYS.SECURITY                               
EP02.NO.SUBSYS.SECURITY                               
EP03.NO.SUBSYS.SECURITY                               
EP04.NO.SUBSYS.SECURITY                               
MA00.NO.SUBSYS.SECURITY                               
MA01.NO.SUBSYS.SECURITY                               
MA02.NO.SUBSYS.SECURITY                               
MA03.NO.SUBSYS.SECURITY                               
MA04.NO.SUBSYS.SECURITY                               
MA05.NO.SUBSYS.SECURITY                               
MA06.NO.SUBSYS.SECURITY                               
MA07.NO.SUBSYS.SECURITY                               
MA08.NO.SUBSYS.SECURITY                               
MA09.NO.SUBSYS.SECURITY                               
MA10.NO.SUBSYS.SECURITY                               
MA11.ALTERNATE.USER.KMCMUL                            
MA11.ALTERNATE.USER.KMCMUL3                           
MA11.ALTERNATE.USER.MA15USR                           
MA11.CHANNEL.MA11.TO.REG1                             
MA11.CONTEXT                                          
MA11.NO.CMD.CHECKS                                    
MA11.NO.CMD.RESC.CHECKS                               
MA11.NO.CMDS.CHECKS        
MA11.NO.CMDS.RESC.CHECKS   
MA11.NO.SUBSYS.SECURITY    
MA11.RESLEVEL              
MA12.NO.SUBSYS.SECURITY    
MA13.NO.SUBSYS.SECURITY    
MA14.NO.SUBSYS.SECURITY    
MA15.NO.SUBSYS.SECURITY    
MA16.NO.SUBSYS.SECURITY    
MA17.NO.SUBSYS.SECURITY    
MA18.NO.SUBSYS.SECURITY    
MA19.NO.SUBSYS.SECURITY    
MA20.NO.SUBSYS.SECURITY    
MI00.NO.SUBSYS.SECURITY    
MI01.NO.SUBSYS.SECURITY    
MI02.NO.SUBSYS.SECURITY    
MI03.NO.SUBSYS.SECURITY    
MI04.NO.SUBSYS.SECURITY    
MI05.NO.SUBSYS.SECURITY    
MI06.NO.SUBSYS.SECURITY    
MI07.NO.SUBSYS.SECURITY    
MI08.NO.SUBSYS.SECURITY    
MI09.ALTERNATE.USER.MI09STC
MI09.ALTERNATE.USER.NHARRIS
MI09.NO.CMD.CHECKS         
MI09.NO.CONNECT.CHECKS     
MI09.NO.CONTEXT.CHECKS     
MI09.NO.SUBSYS.SECURITY                                   
MI10.NO.SUBSYS.SECURITY                                   
MI11.NO.SUBSYS.SECURITY                                   
MI12.NO.SUBSYS.SECURITY                                   
MI13.NO.SUBSYS.SECURITY                                   
MI14.NO.SUBSYS.SECURITY                                   
MI15.NO.SUBSYS.SECURITY                                   
MI16.NO.SUBSYS.SECURITY                                   
MI17.NO.SUBSYS.SECURITY                                   
MI18.NO.SUBSYS.SECURITY                                   
MI19.NO.SUBSYS.SECURITY                                   
MI20.NO.SUBSYS.SECURITY                                   
MI09.CHANNEL.** (G)                                       
MI09.QUEUE.** (G)                                         
READY                                                     
 /* LIST UPPERCASE PROFILES IN THE MQQUEUE MEMBER CLASS */
READY                                                     
 SEARCH CLASS(MQQUEUE)                                    
MA11.INPUT2.QUEUE                                         
MA11.KMBRK                                                
MA11.MA11.DEAD.QUEUE                                      
MA11.MA15                                                 
MA11.REG1                                                 
MA11.SUBSCRIBER.RESULTS.QUEUE                             
MA11.SUBSCRIBER3.RESULTS.QUEUE                            
MA11.SUBSCRIBER4.RESULTS.QUEUE                            
MA11.SUBSCRIBER5.RESULTS.QUEUE                            
MA11.SUBSCRIBER6.RESULTS.QUEUE                             
MA11.SUBSCRIBER9.RESULTS.QUEUE                             
MA11.SYSTEM.CHANNEL.EVENT                                  
MA11.SYSTEM.CHANNEL.SYNCQ                                  
MA11.SYSTEM.CLUSTER.COMMAND.QUEUE                          
MA11.SYSTEM.COMMAND.INPUT                                  
MA11.SYSTEM.COMMAND.REPLY.MODEL                            
MI09.SYSTEM.BROKER.AUTH.SECURITY_EXE                       
MA11.SYSTEM.BROKER.** (G)                                  
MA11.SYSTEM.** (G)                                         
MA11.** (G)                                                
MI09.** (G)                                                
READY                                                      
 /* LIST MIXED CASE PROFILES IN THE MQQUEUE MEMBER CLASS */
READY                                                      
 SEARCH CLASS(MXQUEUE)                                     
NO ENTRIES MEET SEARCH CRITERIA                            
READY                                                      
 /* LIST THE QMGR PROFILE */                               
READY                                                      
 RLIST MQADMIN MI09.NO.SUBSYS.SECURITY ALL                 
CLASS      NAME                                            
-----      ----                                            
MQADMIN    MI09.NO.SUBSYS.SECURITY                         
                                                           
GROUP CLASS NAME                                           
----- ----- ----                                           
GMQADMIN                                                
                                                        
RESOURCE GROUPS                                         
-------- ------                                         
NONE                                                    
                                                        
LEVEL  OWNER      UNIVERSAL ACCESS  YOUR ACCESS  WARNING
-----  --------   ----------------  -----------  -------
 00    MQTEST          NONE               NONE    NO    
                                                        
INSTALLATION DATA                                       
-----------------                                       
NONE                                                    
                                                        
APPLICATION DATA                                        
----------------                                        
NONE                                                    
                                                        
SECLEVEL                                                
--------                                                
NO SECLEVEL                                             
                                                        
CATEGORIES                                              
----------                                              
NO CATEGORIES                                           
                                                        
SECLABEL                                                
--------                                                                       
NO SECLABEL                                                                    
                                                                               
AUDITING                                                                       
--------                                                                       
FAILURES(READ)                                                                 
                                                                               
NOTIFY                                                                         
------                                                                         
NO USER TO BE NOTIFIED                                                         
                                                                               
CREATION DATE  LAST REFERENCE DATE  LAST CHANGE DATE                           
 (DAY) (YEAR)       (DAY) (YEAR)      (DAY) (YEAR)                             
-------------  -------------------  ----------------                           
  237    09          237    09         237    09                               
                                                                               
ALTER COUNT   CONTROL COUNT   UPDATE COUNT   READ COUNT                        
-----------   -------------   ------------   ----------                        
  000000         000000         000000         000000                          
                                                                               
USER      ACCESS   ACCESS COUNT                                                
----      ------   ------ -----                                                
NO USERS IN ACCESS LIST                                                        
                                                                               
   ID     ACCESS  ACCESS COUNT  CLASS                   ENTITY  NAME           
-------- -------  ------------ -------- ---------------------------------------
NO ENTRIES IN CONDITIONAL ACCESS LIST                                          
READY 
END   
特記事項 | 商標 | ダウンロード | ライブラリー | サポート | フィードバック

Copyright IBM Corporation 1999, 2014Copyright IBM Corporation 1999, 2014.

        
        最終更新:
        
        最終更新: 2015-02-28 17:49:29


タスク・トピックタスク・トピック | バージョン 8.0.0.5 | bp43650_