Las siguientes autorizaciones de directorio son necesarias para todos los intermediarios:
- Acceso de lectura/ejecución (READ/EXECUTE) a
<INSTPATH>, donde <INSTPATH> es el
directorio en el que SMP/E ha instalado WebSphere Message Broker
para z/OS.
- Acceso de lectura (READ), escritura (WRITE) y ejecución
(EXECUTE) al directorio del componente
++COMPONENTDIRECTORY++.
- Acceso de lectura/escritura (READ/WRITE) al directorio inicial.
- Acceso de lectura/escritura (READ/WRITE) al directorio identificado por ++HOME++.
- En UNIX System
Services, el ID de usuario de
tarea iniciada y el ID de usuario del administrador de
WebSphere Message Broker han de ser ambos miembros de
los grupos que tienen acceso a los directorios de instalación y del
componente, ya que ambos necesitan privilegios sobre estos recursos. El propietario de estos directorios debe otorgar los permisos adecuados a este grupo.
Todos los intermediarios necesitan las autorizaciones RACF siguientes:
- Acceso READ y WRITE a la clase RACFBPX.SMF, cuando es necesario crear registros SMF 117 para contabilidad y estadísticas.
- Acceso READ al recurso CSFRNG en la clase CSFSERV.
Se necesita acceso de lectura (READ)
al PDSE del componente.
Autorizaciones de WebSphere MQ
Habilite
la seguridad de WebSphere MQ para proteger
los recursos de WebSphere MQ.
Si todos los conmutadores de seguridad de WebSphere MQ están habilitados, defina los siguientes perfiles, y otorgue al ID de usuario de tarea iniciada el acceso listado a cada perfil. Para cada acceso de perfil listado, <MQ_QMNAME> representa el gestor de colas WebSphere MQ al que el componente WebSphere Message Broker está conectado, y TASKID representa el ID de usuario de tarea iniciada.
- Seguridad de conexión: acceso de lectura
(READ) al perfil
<MQ_QMNAME>.BATCH de la clase
MQCONN. Por ejemplo, para el gestor de colas MQP1 y el ID de tarea iniciada TASKID, utilice los mandatos RACF:
RDEFINE
MQCONN MQP1.BATCH UACC(NONE)
PERMIT MQP1.BATCH CLASS(MQCONN) ID(TASKID) ACCESS(READ)
- Seguridad de conexión cuando se utiliza filtro basado en contenido con
publicación/suscripción: acceso de actualización (UPDATE) al perfil
<MQ_QMNAME>.BATCH de la clase MQCONN. Por
ejemplo, para el gestor de colas MQP1 y el ID de tarea iniciada
TASKID, utilice los mandatos RACF:
RDEFINE
MQCONN MQP1.BATCH UACC(NONE)
PERMIT MQP1.BATCH CLASS(MQCONN) ID(TASKID) ACCESS(UPDATE)
- Seguridad de cola: acceso de actualización (UPDATE)
al perfil <MQ_QMNAME>.queue de la clase
MQQUEUE para todas las colas. Vea si es conveniente crear
perfiles para las siguientes colas:
- Todas las colas del componente que utilicen el perfil genérico SYSTEM.BROKER.**
- Todas las colas de transmisión que se han definido entre gestores de colas del componente.
- Todas las colas que se han especificado en los flujos de mensajes.
- Colas de mensajes no entregados.
- Colas de modelos.
Por ejemplo para el gestor de colas MQP1 y el ID de tarea iniciada TASKID, utilice los siguientes mandatos RACF para restringir el acceso a las colas del componente: RDEFINE MQQUEUE MQP1.SYSTEM.BROKER.** UACC(NONE)
PERMIT MQP1.SYSTEM.BROKER.** CLASS(MQQUEUE) ID(TASKID) ACCESS(UPDATE)
- Seguridad de contexto: acceso de control (CONTROL)
al perfil <MQ_QMNAME>.CONTEXT de la clase
MQADMIN. Por ejemplo, para el gestor de colas MQP1 y el ID de tarea iniciada TASKID, utilice los siguientes mandatos RACF:
RDEFINE MQADMIN MQP1.CONTEXT UACC(NONE)
PERMIT MQP1.CONTEXT.** CLASS(MQADMIN) ID(TASKID) ACCESS(CONTROL)
- Seguridad de usuario alternativo: Defina la autorización de usuario alternativo como: acceso UPDATE al perfil <MQ_QMNAME>.ALTERNATE.USER.id de la clase MQADMIN, donde id representa el ID de tarea de inicio del componente del intermediario.
Por ejemplo, para el gestor de colas MQP1, el ID de tarea iniciada TASKID y el ID de servicio de configuración CFGID, utilice los siguientes mandatos RACF:
RDEFINE MQADMIN MQP1.ALTERNATE.USER.CFGID UACC(NONE)
PERMIT MQP1.ALTERNATE.USER.CFGID CLASS(MQADMIN) ID(TASKID) ACCESS(UPDATE)
Acceso de actualización (UPDATE) al perfil <MQ_QMNAME>.ALTERNATE.USER.id de la clase MQADMIN, donde id representa el ID de usuario de, por ejemplo, una solicitud de publicación/suscripción.
- Seguridad de proceso y de lista de nombres; si tiene conmutadores de seguridad
WebSphere MQ habilitados en el sistema para la seguridad de
proceso y de lista de nombres, no es necesario que defina perfiles de acceso en
una configuración predeterminada de WebSphere Message Broker.
- Seguridad de tema:
- Cree un perfil RACF para controlar la publicación y suscripción para el tema
MQ administrativo SYSTEM.BROKER.MB.TOPIC:
RDEFINE MXTOPIC <MQ_QMNAME>.PUBLISH.SYSTEM.BROKER.MB.TOPIC UACC(NONE)
RDEFINE MXTOPIC <MQ_QMNAME>.SUBSCRIBE.SYSTEM.BROKER.MB.TOPIC UACC(NONE)
- Otorgue el ID de tarea iniciada del intermediario la posibilidad de publicar en
dicho tema:
PERMIT <MQ_QMNAME>.PUBLISH.SYSTEM.BROKER.MB.TOPIC CLASS(MXTOPIC) ID(TASKID) ACCESS(UPDATE)
- Permita que el intermediario se suscriba a sus propios temas:
PERMIT <MQ_QMNAME>.SUBSCRIBE.SYSTEM.BROKER.MB.TOPIC CLASS(MXTOPIC) ID(TASKID) ACCESS(ALTER)
- Opcionalmente, permita que usuarios adicionales se suscriban a estos temas
(necesario para usuarios web o para consumidores externos de sucesos)
PERMIT como previamente para los ID de usuario adicionales.
Para
los usuarios que se conectan de forma remota desde
WebSphere Message Broker Explorer,WebSphere Message Broker Toolkit o desde
una
aplicación de
API de CMP al intermediario en
z/OS, se necesitan la autorizaciones siguientes. Las aplicaciones
CMP incluyen los mandatos que utilizan esa interfaz;
mqsichangeresourcestats, mqsicreateexecutiongroup,
mqsideleteexecutiongroup,
mqsideploy,
mqsilist, mqsimode,
mqsireloadsecurity,
mqsireportresourcestats, mqsistartmsgflow y
mqsistopmsgflow.
- Seguridad de conexión: acceso de lectura
(READ)
al perfil <MQ_QMNAME>.CHIN de la clase
MQCONN. Por ejemplo, para el gestor de colas MQP1 y el ID de tarea iniciada TASKID, utilice los siguientes mandatos RACF:
RDEFINE MQCONN MQP1.CHIN UACC(NONE)
PERMIT MQP1.CHIN CLASS(MQCONN) ID(TASKID) ACCESS(READ)
- Seguridad de usuario alternativo: Defina la autorización de usuario
alternativo como: acceso de actualización
(UPDATE) al perfil
<MQ_QMNAME>.ALTERNATE.USER.id de la clase
MQADMIN, donde id representa el ID de
usuario de WebSphere Message Broker Toolkit o de la
aplicación de API de CMP. Por ejemplo, para el gestor de colas MQP1, el ID de tarea iniciada TASKID y el ID de usuario USERID, utilice los siguientes mandatos RACF:
RDEFINE MQADMIN MQP1.ALTERNATE.USER.USERID UACC(NONE)
PERMIT MQP1.ALTERNATE.USER.USERID CLASS(MQADMIN) ID(TASKID) ACCESS(UPDATE)