WebSphere Message Broker, Versión 8.0.0.5 Sistemas operativos: AIX, HP-Itanium, Linux, Solaris, Windows, z/OS

Consulte la información sobre la última versión del producto en IBM Integration Bus, Versión 9.0

Configurar identificadores (ID) de usuario de intermediario en z/OS

Cuando cree los intermediarios en z/OS, debe configurar la seguridad mediante la configuración de los ID de usuario de intermediario con los permisos adecuados.

Antes de empezar

Antes de iniciar esta tarea, lea los temas Seguridad de componente de intermediario y Creación de un intermediario en z/OS.

Los pasos siguientes le guían a través de la configuración de un ID de usuario de intermediario en z/OS:

  1. Decida el nombre de tarea iniciada del intermediario. Este nombre se utiliza para configurar las autorizaciones de tarea iniciada y para gestionar el rendimiento del sistema.
  2. Decida el convenio de denominación de conjuntos de datos para el PDSE de WebSphere Message Broker. Un nombre típico podría ser WMQI.MQP1BRK.CNTL, donde MQP1 es el nombre del gestor de colas. Debe proporcionar acceso a los conjuntos de datos a los administradores de WebSphere Message Broker, WebSphere MQ y z/OS. Puede controlar el acceso de distintas formas, por ejemplo:
    • Otorgue a cada usuario acceso individual al conjunto de datos específico
    • Defina un perfil de conjunto de datos genérico, definiendo un grupo que contenga los ID de usuario de los administradores. Otorgue al grupo acceso de control al perfil de conjunto de datos genérico
  3. Configure el acceso a los componentes y recursos de z/OS. Para obtener más información, consulte Resumen del acceso necesario (z/OS).
  4. Defina un segmento de grupo OMVS para este grupo, de forma que se pueda extraer información de la base de datos del gestor de seguridad externo (External Security Manager, ESM) que permita al usuario utilizar la seguridad de Publicación/Suscripción.
  5. Defina un segmento OMVS para el ID de usuario de tarea iniciada y asigne a su directorio de inicio espacio suficiente para cualquier volcado de memoria de WebSphere Message Broker. Considere la posibilidad de utilizar el nombre de procedimiento de tarea iniciada como el ID de usuario de tarea iniciada.
  6. Compruebe que el segmento OMVS está definido utilizando el siguiente mandato TSO:
    LU ID_usuario OMVS
    La salida del mandato incluye el segmento OMVS, por ejemplo:
    USER=MQP1BRK NAME=SMITH, JANE OWNER=TSOUSER
    CREATED=99.342 DEFAULT-GROUP=TSOUSER PASSDATE=01.198
    PASS-INTERVAL=30
    ......
    OMVS INFORMATION
    ----------------
    UID=0000070594
    HOME=/u/MQP1BRK
    PROGRAM=/bin/sh
    CPUTIMEMAX=NONE
    ASSIZEMAX=NONE
    FILEPROCMAX=NONE
    PROCUSERMAX=NONE
    THREADSMAX=NONE
    MMAPAREAMAX=NONE
    El mandato:
    df -P /u/MQP1BRK
    visualiza la cantidad de espacio utilizada y disponible, donde /u/MQP1BRK es el valor procedente de HOME (en una línea anterior). Este mandato muestra qué cantidad de espacio está disponible en ese momento en el sistema de archivos. Consulte con el administrador de datos si esa cantidad de espacio es suficiente. Necesita un mínimo de 400.000 bloques disponibles si se efectúa un volcado de memoria.
  7. Asocie el procedimiento de tarea iniciada al ID de usuario que se va a utilizar. Por ejemplo, puede utilizar la clase STARTED en RACF. Los administradores de WebSphere Message Broker y z/OS han de estar de acuerdo con el nombre de la tarea iniciada,
  8. Los administradores de WebSphere Message Broker necesitan un segmento OMVS y un directorio de inicio. Compruebe la configuración descrita anteriormente.
  9. Los ID de usuario de tarea iniciada y los administradores de WebSphere Message Broker necesitan acceso a los archivos de proceso de instalación, los archivos específicos del componente y al directorio de inicio de la tarea iniciada. Durante la personalización, se puede cambiar el propietario del archivo para modificar el acceso del grupo. Este cambio puede requerir autorización de superusuario.

En z/OS, puede especificar un ID de usuario alternativo para ejecutar un grupo de ejecución de manera que pueda acceder a los recursos de acuerdo con los permisos que tiene asignados, en lugar de los permisos asignados al ID de usuario de intermediario principal; para obtener más información, consulte ID de usuarios de grupo de ejecución en z/OS. Para obtener información sobre cómo especificar un ID de usuario de grupo de ejecución, consulte Especificar un ID de usuario alternativo para ejecutar un grupo de ejecución en z/OS.

Cuando el ID de usuario de servicio es root, todas las bibliotecas cargadas por el intermediario, incluidas todas las bibliotecas de plug-in escritas por el usuario y todas las bibliotecas compartidas a las que puedan acceder, también tienen acceso root a todos los recursos del sistema (por ejemplo, catálogos de archivos). Revise y valore el riesgo que implica el otorgar este nivel de autorización.

Avisos | Marcas registradas | Descargas | Biblioteca | Soporte | Comentarios

Copyright IBM Corporation 1999, 2014Copyright IBM Corporation 1999, 2014.

        
        Última actualización:
        
        Última actualización: 2015-02-28 17:01:14


Tema de tareaTema de tarea | Versión 8.0.0.5 | be28920_