WebSphere Message Broker, Versión 8.0.0.5 Sistemas operativos: AIX, HP-Itanium, Linux, Solaris, Windows, z/OS

Consulte la información sobre la última versión del producto en IBM Integration Bus, Versión 9.0

Resumen del acceso necesario (z/OS)

Los profesionales de su empresa necesitan acceder a los componentes y recursos de z/OS.

Autorizaciones necesarias para el ID de usuario de tarea iniciada de WebSphere Message Broker

Las siguientes autorizaciones de directorio son necesarias para todos los intermediarios:
  • Acceso de lectura/ejecución (READ/EXECUTE) a <INSTPATH>, donde <INSTPATH> es el directorio en el que SMP/E ha instalado WebSphere Message Broker para z/OS.
  • Acceso de lectura (READ), escritura (WRITE) y ejecución (EXECUTE) al directorio del componente ++COMPONENTDIRECTORY++.
  • Acceso de lectura/escritura (READ/WRITE) al directorio inicial.
  • Acceso de lectura/escritura (READ/WRITE) al directorio identificado por ++HOME++.
  • En UNIX System Services, el ID de usuario de tarea iniciada y el ID de usuario del administrador de WebSphere Message Broker han de ser ambos miembros de los grupos que tienen acceso a los directorios de instalación y del componente, ya que ambos necesitan privilegios sobre estos recursos. El propietario de estos directorios debe otorgar los permisos adecuados a este grupo.
Todos los intermediarios necesitan las autorizaciones RACF siguientes:
  • Acceso READ y WRITE a la clase RACFBPX.SMF, cuando es necesario crear registros SMF 117 para contabilidad y estadísticas.
  • Acceso READ al recurso CSFRNG en la clase CSFSERV.

Se necesita acceso de lectura (READ) al PDSE del componente.

Autorizaciones de WebSphere MQ

Habilite la seguridad de WebSphere MQ para proteger los recursos de WebSphere MQ. Si todos los conmutadores de seguridad de WebSphere MQ están habilitados, defina los siguientes perfiles, y otorgue al ID de usuario de tarea iniciada el acceso listado a cada perfil. Para cada acceso de perfil listado, <MQ_QMNAME> representa el gestor de colas WebSphere MQ al que el componente WebSphere Message Broker está conectado, y TASKID representa el ID de usuario de tarea iniciada.

  • Seguridad de conexión: acceso de lectura (READ) al perfil <MQ_QMNAME>.BATCH de la clase MQCONN. Por ejemplo, para el gestor de colas MQP1 y el ID de tarea iniciada TASKID, utilice los mandatos RACF:
    RDEFINE
    MQCONN MQP1.BATCH UACC(NONE)
    PERMIT MQP1.BATCH CLASS(MQCONN) ID(TASKID) ACCESS(READ)
  • Seguridad de conexión cuando se utiliza filtro basado en contenido con publicación/suscripción: acceso de actualización (UPDATE) al perfil <MQ_QMNAME>.BATCH de la clase MQCONN. Por ejemplo, para el gestor de colas MQP1 y el ID de tarea iniciada TASKID, utilice los mandatos RACF:
    RDEFINE
    MQCONN MQP1.BATCH UACC(NONE)
    PERMIT MQP1.BATCH CLASS(MQCONN) ID(TASKID) ACCESS(UPDATE)
  • Seguridad de cola: acceso de actualización (UPDATE) al perfil <MQ_QMNAME>.queue de la clase MQQUEUE para todas las colas. Vea si es conveniente crear perfiles para las siguientes colas:
    • Todas las colas del componente que utilicen el perfil genérico SYSTEM.BROKER.**
    • Todas las colas de transmisión que se han definido entre gestores de colas del componente.
    • Todas las colas que se han especificado en los flujos de mensajes.
    • Colas de mensajes no entregados.
    • Colas de modelos.
    Por ejemplo para el gestor de colas MQP1 y el ID de tarea iniciada TASKID, utilice los siguientes mandatos RACF para restringir el acceso a las colas del componente:
    RDEFINE MQQUEUE MQP1.SYSTEM.BROKER.** UACC(NONE)
    PERMIT MQP1.SYSTEM.BROKER.** CLASS(MQQUEUE) ID(TASKID) ACCESS(UPDATE)
  • Seguridad de contexto: acceso de control (CONTROL) al perfil <MQ_QMNAME>.CONTEXT de la clase MQADMIN. Por ejemplo, para el gestor de colas MQP1 y el ID de tarea iniciada TASKID, utilice los siguientes mandatos RACF:
    RDEFINE MQADMIN MQP1.CONTEXT UACC(NONE)
    PERMIT MQP1.CONTEXT.** CLASS(MQADMIN) ID(TASKID) ACCESS(CONTROL) 
  • Seguridad de usuario alternativo: Defina la autorización de usuario alternativo como: acceso UPDATE al perfil <MQ_QMNAME>.ALTERNATE.USER.id de la clase MQADMIN, donde id representa el ID de tarea de inicio del componente del intermediario. Por ejemplo, para el gestor de colas MQP1, el ID de tarea iniciada TASKID y el ID de servicio de configuración CFGID, utilice los siguientes mandatos RACF:
    RDEFINE MQADMIN MQP1.ALTERNATE.USER.CFGID UACC(NONE)
    PERMIT MQP1.ALTERNATE.USER.CFGID  CLASS(MQADMIN) ID(TASKID) ACCESS(UPDATE) 
    Acceso de actualización (UPDATE) al perfil <MQ_QMNAME>.ALTERNATE.USER.id de la clase MQADMIN, donde id representa el ID de usuario de, por ejemplo, una solicitud de publicación/suscripción.
  • Seguridad de proceso y de lista de nombres; si tiene conmutadores de seguridad WebSphere MQ habilitados en el sistema para la seguridad de proceso y de lista de nombres, no es necesario que defina perfiles de acceso en una configuración predeterminada de WebSphere Message Broker.
  • Seguridad de tema:
    • Cree un perfil RACF para controlar la publicación y suscripción para el tema MQ administrativo SYSTEM.BROKER.MB.TOPIC:
      RDEFINE MXTOPIC <MQ_QMNAME>.PUBLISH.SYSTEM.BROKER.MB.TOPIC UACC(NONE)
      RDEFINE MXTOPIC <MQ_QMNAME>.SUBSCRIBE.SYSTEM.BROKER.MB.TOPIC UACC(NONE)
    • Otorgue el ID de tarea iniciada del intermediario la posibilidad de publicar en dicho tema:
      PERMIT <MQ_QMNAME>.PUBLISH.SYSTEM.BROKER.MB.TOPIC CLASS(MXTOPIC) ID(TASKID) ACCESS(UPDATE)
    • Permita que el intermediario se suscriba a sus propios temas:
      PERMIT <MQ_QMNAME>.SUBSCRIBE.SYSTEM.BROKER.MB.TOPIC CLASS(MXTOPIC) ID(TASKID) ACCESS(ALTER)
    • Opcionalmente, permita que usuarios adicionales se suscriban a estos temas (necesario para usuarios web o para consumidores externos de sucesos) PERMIT como previamente para los ID de usuario adicionales.
Para los usuarios que se conectan de forma remota desde WebSphere Message Broker Explorer,WebSphere Message Broker Toolkit o desde una aplicación de API de CMP al intermediario en z/OS, se necesitan la autorizaciones siguientes. Las aplicaciones CMP incluyen los mandatos que utilizan esa interfaz; mqsichangeresourcestats, mqsicreateexecutiongroup, mqsideleteexecutiongroup, mqsideploy, mqsilist, mqsimode, mqsireloadsecurity, mqsireportresourcestats, mqsistartmsgflow y mqsistopmsgflow.
  • Seguridad de conexión: acceso de lectura (READ) al perfil <MQ_QMNAME>.CHIN de la clase MQCONN. Por ejemplo, para el gestor de colas MQP1 y el ID de tarea iniciada TASKID, utilice los siguientes mandatos RACF:
    RDEFINE MQCONN MQP1.CHIN UACC(NONE)
    PERMIT MQP1.CHIN CLASS(MQCONN) ID(TASKID) ACCESS(READ)
  • Seguridad de usuario alternativo: Defina la autorización de usuario alternativo como: acceso de actualización (UPDATE) al perfil <MQ_QMNAME>.ALTERNATE.USER.id de la clase MQADMIN, donde id representa el ID de usuario de WebSphere Message Broker Toolkit o de la aplicación de API de CMP. Por ejemplo, para el gestor de colas MQP1, el ID de tarea iniciada TASKID y el ID de usuario USERID, utilice los siguientes mandatos RACF:
    RDEFINE MQADMIN MQP1.ALTERNATE.USER.USERID UACC(NONE)
    PERMIT MQP1.ALTERNATE.USER.USERID  CLASS(MQADMIN) ID(TASKID) ACCESS(UPDATE)

Autorizaciones necesarias para el administrador de WebSphere Message Broker

El administrador del intermediario necesita las siguientes autorizaciones:

  • Acceso de modificación (ALTER) para el PDSE del componente.
  • Acceso de lectura (READ), escritura (WRITE) y ejecución (EXECUTE) al directorio del componente ++COMPONENTDIRECTORY++.
  • Acceso de lectura/ejecución (READ/EXECUTE) a <INSTPATH>, donde <INSTPATH> es el directorio en el que SMP/E ha instalado WebSphere Message Broker para z/OS.
  • Acceso de lectura/escritura (READ/WRITE) al directorio identificado por ++HOME++.
  • En UNIX System Services, el ID de usuario de tarea iniciada y el ID de usuario del administrador de WebSphere Message Broker han de ser ambos miembros de los grupos que tienen acceso a los directorios de instalación y del componente, ya que ambos necesitan privilegios sobre estos recursos. El propietario de esos directorios ha de otorgar los privilegios oportunos a ese grupo.Además, el administrador de WebSphere Message Broker debe ser miembro del grupo que es el grupo primario del ID de usuario de tarea iniciada.

Autorizaciones necesarias para el administrador de WebSphere MQ

Si el administrador de WebSphere MQ ejecuta la comprobación de WebSphere MQ al crear un intermediario, el ID de usuario de administrador necesita las autorizaciones siguientes. También puede otorgar autorización al administrador de WebSphere Message Broker para ejecutar la comprobación de WebSphere MQ.
  • Acceso de modificación (ALTER) para el PDSE del componente.
  • Autorizaciones de directorio:
    • Acceso de lectura/ejecución (READ/EXECUTE) a <INSTPATH>, donde <INSTPATH> es el directorio en el que SMP/E ha instalado WebSphere Message Broker para z/OS.
    • Acceso de lectura (READ), escritura (WRITE) y ejecución (EXECUTE) al directorio del componente ++COMPONENTDIRECTORY++.
    • Acceso de lectura/escritura (READ/WRITE) al directorio identificado por ++HOME++.
Habilite la seguridad de WebSphere MQ para proteger los recursos de WebSphere MQ. Si todos los conmutadores de seguridad de WebSphere MQ están habilitados, defina los siguientes perfiles y otorgue al administrador de WebSphere MQ el acceso listado para cada perfil a fin de ejecutar los trabajos de configuración de WebSphere MQ. Para cada acceso de perfil listado, MQ_QMNAME> representa el gestor de colas WebSphere MQ al que el componente WebSphere Message Broker está conectado y MQADMIN representa el ID del administrador de WebSphere MQ:
  • Seguridad de conexión: acceso de lectura (READ) al perfil <MQ_QMNAME>.BATCH de la clase MQCONN. Por ejemplo, para el gestor de colas MQP1 y el ID de administrador de WebSphere MQ MQADMIN, utilice los siguientes mandatos RACF:
    RDEFINE
    MQCONN MQP1.BATCH UACC(NONE)
    PERMIT MQP1.BATCH CLASS(MQCONN) ID(MQADMIN) ACCESS(READ)
  • Seguridad de cola: acceso de actualización (UPDATE) al perfil <MQ_QMNAME>.queue de la clase MQQUEUE para las colas de componente creadas o suprimidas. Puede crear un perfil genérico SYSTEM.BROKER.** Por ejemplo, para el gestor de colas MQP1 y el ID de administrador de WebSphere MQ, MQADMIN, utilice los siguientes mandatos RACF para restringir el acceso a las colas del componente:
    RDEFINE MQQUEUE MQP1.SYSTEM.BROKER.** UACC(NONE)
    PERMIT MQP1.SYSTEM.BROKER.** CLASS(MQQUEUE) ID(MQADMIN) ACCESS(UPDATE) 
  • Servidor de mandatos del sistema: acceso de actualización (UPDATE) al perfil <MQ_QMNAME>.queue de la clase MQQUEUE para SYSTEM.COMMAND.**. Por ejemplo, para el gestor de colas MQP1 y el ID de administrador de WebSphere MQMQADMIN, utilice los siguientes mandatos RACF para restringir el acceso al servidor de mandatos del sistema:
    RDEFINE MQQUEUE MQP1.SYSTEM.COMMAND.** UACC(NONE)
    PERMIT MQP1.SYSTEM.COMMAND.** CLASS(MQQUEUE) ID(MQADMIN) ACCESS(UPDATE) 
    Acceso de actualización (UPDATE) al perfil <MQ_QMNAME>.queue de la clase MQQUEUE para algunas colas del sistema utilizadas durante el trabajo de creación/supresión. Puede crear un perfil genérico <MQ_QMNAME>.**
  • Seguridad de mandatos
    • Para ejecutar la comprobación de WebSphere MQ al crear un componente, necesita:
      • Acceso de modificación (ALTER) a <MQ_QMNAME>.DEFINE.QLOCAL de la clase MQCMDS.
      • Acceso de modificación (ALTER) a <MQ_QMNAME>.DEFINE.QMODEL de la clase MQCMDS.
      • Acceso de modificación ALTER a <MQ_QMNAME>.DEFINE.CHANNEL de la clase MQCMDS.
    • Para ejecutar la comprobación de WebSphere MQ al suprimir un componente, necesita:
      • Acceso de modificación (ALTER) a <MQ_QMNAME>.DELETE.QLOCAL de la clase MQCMDS.
      • Acceso de modificación (ALTER) a <MQ_QMNAME>.DELETE.QMODEL de la clase MQCMDS.
      • Acceso de modificación (ALTER) a <MQ_QMNAME>.DELETE.CHANNEL de la clase MQCMDS.
    Para el gestor de colas MQP1 y el ID de administrador de WebSphere MQ MQADMIN, utilice los siguientes mandatos RACF:
    RDEFINE MQCMDS MQP1.DELETE.QLOCAL UACC(NONE)
    PERMIT MQP1.DELETE.QLOCAL CLASS(MQCMDS) ID(MQADMIN) ACCESS(ALTER)
  • Seguridad de mandatos de recursos: acceso de modificación (ALTER) a MQP1.QUEUE.cola de la clase MQADMIN para cada cola creada o suprimida. Puede crear un perfil genérico SYSTEM.BROKER.**. Por ejemplo, para el gestor de colas MQP1 y el ID de administrador de WebSphere MQMQADMIN, utilice los mandatos RACF:
    RDEFINE MQADMIN MQP1.QUEUE.SYSTEM.BROKER.** UACC(NONE)
    PERMIT MQP1.QUEUE.SYSTEM.BROKER.** CLASS(MQADMIN) ID(MQADMIN) ACCESS(ALTER)
  • Seguridad de proceso y de lista de nombres; si tiene conmutadores de seguridad WebSphere MQ habilitados en el sistema para la seguridad de proceso y de lista de nombres, no es necesario que defina ningún perfil de acceso en una configuración predeterminada de WebSphere Message Broker.
Avisos | Marcas registradas | Descargas | Biblioteca | Soporte | Comentarios

Copyright IBM Corporation 1999, 2014Copyright IBM Corporation 1999, 2014.

        
        Última actualización:
        
        Última actualización: 2015-02-28 16:59:35


Tema de referenciaTema de referencia | Versión 8.0.0.5 | ae14040_