Cuando cree los intermediarios en
z/OS, debe configurar la seguridad mediante la
configuración de los ID de usuario de intermediario con los permisos adecuados.
Los pasos siguientes le guían a través de la
configuración de un ID de usuario de intermediario en z/OS:
- Decida el nombre de tarea iniciada del intermediario. Este nombre se utiliza para
configurar las autorizaciones de tarea iniciada y para gestionar el rendimiento del
sistema.
- Decida el convenio de denominación de conjuntos de datos para el PDSE de
WebSphere Message Broker. Un nombre típico podría ser
WMQI.MQP1BRK.CNTL, donde MQP1 es el nombre del gestor
de colas. Debe proporcionar acceso a los conjuntos de datos a los administradores de WebSphere Message Broker, WebSphere MQ y z/OS. Puede
controlar el acceso de distintas formas, por ejemplo:
- Otorgue a cada usuario acceso individual al conjunto de datos específico
- Defina un perfil de conjunto de datos genérico, definiendo un grupo que contenga
los ID de usuario de los administradores. Otorgue al grupo acceso de control al perfil
de conjunto de datos genérico
- Configure el acceso a los componentes y recursos de z/OS. Para obtener más información, consulte Resumen del acceso necesario (z/OS).
- Defina un segmento de grupo OMVS para este grupo, de forma que se pueda extraer
información de la base de datos del gestor de seguridad externo (External Security
Manager, ESM) que permita al usuario utilizar la seguridad de Publicación/Suscripción.
- Defina un segmento OMVS para el ID de usuario de tarea iniciada y asigne a su
directorio de inicio espacio suficiente para cualquier volcado de memoria
de WebSphere Message Broker. Considere la posibilidad de utilizar el
nombre de procedimiento de tarea iniciada como el ID de usuario de tarea iniciada.
- Compruebe que el segmento OMVS está definido utilizando el siguiente mandato
TSO:
LU ID_usuario OMVS
La salida del mandato incluye el segmento OMVS, por ejemplo:
USER=MQP1BRK NAME=SMITH, JANE OWNER=TSOUSER
CREATED=99.342 DEFAULT-GROUP=TSOUSER PASSDATE=01.198
PASS-INTERVAL=30
......
OMVS INFORMATION
----------------
UID=0000070594
HOME=/u/MQP1BRK
PROGRAM=/bin/sh
CPUTIMEMAX=NONE
ASSIZEMAX=NONE
FILEPROCMAX=NONE
PROCUSERMAX=NONE
THREADSMAX=NONE
MMAPAREAMAX=NONE
El mandato:
df -P /u/MQP1BRK
visualiza la cantidad de espacio utilizada y disponible, donde /u/MQP1BRK es el valor procedente de HOME (en una línea anterior). Este mandato muestra qué cantidad de espacio está disponible
en ese momento en el sistema de archivos.
Consulte
con el administrador de datos si esa cantidad de espacio es suficiente.
Necesita un
mínimo de 400.000 bloques disponibles si se efectúa un volcado de memoria.
- Asocie el procedimiento de tarea iniciada al ID de usuario que se va a
utilizar. Por ejemplo, puede utilizar la clase STARTED en RACF. Los administradores de WebSphere Message Broker y
z/OS han de estar de acuerdo con el nombre
de la tarea iniciada,
- Los administradores de WebSphere Message Broker necesitan un
segmento OMVS y un directorio de inicio. Compruebe la configuración descrita anteriormente.
- Los ID de usuario de tarea iniciada y los administradores de
WebSphere Message Broker necesitan acceso a los archivos de
proceso de instalación, los archivos específicos del componente y al directorio de inicio
de la tarea iniciada. Durante la personalización, se puede cambiar el propietario del archivo para modificar el acceso del grupo. Este cambio puede requerir autorización de
superusuario.
Cuando el ID de usuario de servicio es root,
todas las bibliotecas cargadas por el intermediario, incluidas todas las bibliotecas de
plug-in escritas por el usuario y todas las bibliotecas compartidas a las que puedan
acceder, también tienen acceso root a todos los recursos del sistema (por ejemplo,
catálogos de archivos). Revise y valore el riesgo que implica el otorgar este nivel
de autorización.