Configuración de la seguridad de z/OS

Decida los nombres de tareas iniciadas del intermediario y del Servidor de nombres de usuarios. Estos nombres se utiliza para configurar autorizaciones de tareas iniciadas y para gestionar el rendimiento del sistema.

Decida un convenio de denominación del conjunto de datos para los PDSE de WebSphere Business Integration Event Broker. Un nombre habitual puede ser WMQI.MQP1BRK.CNTL o MQS.MQP1UNS.BIPCNTL, donde MQP1 es el nombre del gestor de colas. Debe otorgar a los administradores de WebSphere Business Integration Event Broker, WebSphere MQ, DB2 y z/OS acceso a estos conjuntos de datos. Puede otorgar a estos profesionales acceso de control de varias maneras, por ejemplo:
  • Otorgar a cada usuario acceso individual al conjunto de datos específicos.
  • Definir un perfil de conjunto de datos genéricos, definiendo un grupo que contenga los ID de usuario de los administradores. Otorgue acceso de control de grupo al perfil del conjunto de datos genérico.

Si desea utilizar Publicación/suscripción, defina un grupo denominado MQBRKRS y conecte los ID de usuario de tareas iniciadas a este grupo. Defina un segmento de grupo de OMVS para dicho grupo de forma que el Servidor de nombres de usuarios pueda extraer información de la base de datos del gestor de seguridad externo (ESM) para permitirle utilizar la seguridad de Publicación/suscripción.

Cada intermediario necesita un ID exclusivo para sus tablas de DB2. Puede tratarse de:
  • Un ID de usuario de la tarea iniciada único; podría utilizar el nombre del intermediario como ID de usuario de la tarea iniciada.
  • Un ID de usuario de la tarea iniciada compartido y un grupo único especificado para identificar las tablas de DB2 que se utilizarán con la interfaz de ODBC. Utilice el nombre del intermediario como nombre de grupo.
Defina un segmento de OMVS para el ID de usuario de la tarea iniciada y asigne espacio suficiente al directorio inicial para cualquier vuelco de WebSphere Business Integration Event Broker. Considere la posibilidad de utilizar el nombre del procedimiento de la tarea iniciada como ID de usuario de la tarea iniciada. Compruebe que el segmento de OMVS se defina utilizando el mandato TSO siguiente:
LU userid OMVS
La salida del mandato incluye el segmento de OMVS, por ejemplo:
USER=MQP1BRK NAME=SMITH, JANE OWNER=TSOUSER
CREATED=99.342 DEFAULT-GROUP=TSOUSER PASSDATE=01.198
PASS-INTERVAL=30
......
OMVS INFORMATION
----------------
UID=0000070594
HOME=/u/MQP1BRK
PROGRAM=/bin/sh
CPUTIMEMAX=NONE
ASSIZEMAX=NONE
FILEPROCMAX=NONE
PROCUSERMAX=NONE
THREADSMAX=NONE
MMAPAREAMAX=NONE
El mandato:
df -P /u/MQP1BRK
visualiza la cantidad de espacio utilizado y disponible, donde /u/MQP1BRK es el valor de HOME indicado anteriormente. Este mandato le muestra cuánto espacio hay disponible actualmente en el sistema de archivos. Compruebe con los administradores de datos que esto sea suficiente. Necesitará como mínimo 400 000 bloques libres; esto es necesario si se realiza un vuelco.

Asocie el procedimiento de la tarea iniciada con el ID de usuario que se utilizará. Por ejemplo, puede utilizar la clase STARTED en RACF. WebSphere Business Integration Event Broker y los administradores de z/OS deben acordar el nombre de la tarea iniciada.

Los administradores de WebSphere Business Integration Event Broker necesitan un segmento de OMVS y un directorio inicial. Compruebe la configuración descrita anteriormente.

Los ID de usuario de la tarea iniciada y los administradores de WebSphere Business Integration Event Broker necesitan acceder a los ejecutables de instalación, los archivos específicos de componentes y al directorio inicial de la tarea iniciada. Durante la personalización, la propiedad del archivo se puede cambiar para modificar el acceso del grupo. Esto puede requerir una autorización de superusuario.

Cuando el ID de usuario de servicio es root, todas las bibliotecas que el intermediario carga, incluidas todas las bibliotecas de plug-in grabadas por el usuario y todas las bibliotecas compartidas a las que pueden acceder, tienen acceso root a los recursos del sistema (por ejemplo conjuntos de archivos). Revise y valore el riesgo que comporta otorgar este nivel de autorización.

Tareas relacionadas
Consideraciones sobre seguridad

Referencia relacionada
Tareas y funciones de personalización (z/OS)
Resumen del acceso necesario (z/OS)