必須アクセスの要約 (z/OS)

次の情報は、組織内の専門家が必要とするアクセスを要約しています。

WebSphere Business Integration Message Broker 開始済みタスク・ユーザー ID に必要な許可

コンポーネント PDSE には、アクセスの必要はありません。

必要なディレクトリー許可は以下のとおりです。
  • <INSTPATH>/bin の実行可能ファイルへの READ/EXECUTE アクセス。 <INSTPATH> は、WebSphere Business Integration Message Broker for z/OS が SMP/E によってインストールされたディレクトリーです。
  • コンポーネント・ディレクトリーへの READ/WRITE/EXECUTE アクセス。
  • ホーム・ディレクトリーへの READ/WRITE アクセス。
  • UNIX システム・サービスでは、開始済みタスク・ユーザー ID および WebSphere Business Integration Message Broker 管理者ユーザー ID の両方が、インストールおよびコンポーネント・ディレクトリーにアクセスできるグループのメンバーであることが必要です。 これは、両方ともこれらのディレクトリーを扱う特権が必要であるためです。 これらのディレクトリーの所有者は、このグループに適切な許可を与える必要があります。
開始済みタスク・ユーザー ID およびテーブル所有者 ID 用の DB2 許可が必要です。
  • DSNR クラスに db2subsystem.RRSAF のプロファイルがある場合、開始済みタスク・ユーザー ID はプロファイルへのアクセス権が必要です。 たとえば、次の RACF コマンドは、プロファイルが存在するかどうかを示します。
    RLIST  DSNR (DB2P.RRSAF) 
    次のコマンドは必要なアクセスを付与します。
    PERMIT  DB2P.RRSAF  CLASS(DSNR) ID(WQMITASK)  ACCESS(READ)
  • テーブル SYSIBM.SYSTABLES、SYSIBM.SYSSYNONYMS、および SYSIBM.SYSDATABASE 上の SELECT 特権。
  • すべてのブローカー・システム・テーブル上の SELECTUPDATEINSERT、および DELETE 特権。
  • DB2_TABLE_OWNER は、開始済みタスク・ユーザー ID の有効な許可 ID でなければなりません。
  • DSNACLI 計画の EXECUTE 権限、または開始済みタスク・ユーザー ID に相当する権限。

WebSphere MQ 許可:

WebSphere MQ リソースを保護するため、WebSphere MQ セキュリティーを使用可能にします。 すべての WebSphere MQ セキュリティー・スイッチが使用可能な場合、次のプロファイルを定義し、開始済みタスク・ユーザー IDに、各プロファイルへのリストされるアクセスを付与します。リストされる各プロファイル・アクセスの場合、<MQ_QMNAME>WebSphere Business Integration Message Broker コンポーネントが接続される WebSphere MQ キュー・マネージャー、TASKIDWebSphere Business Integration Message Broker 開始済みタスク・ユーザー ID を表します。

  • 接続セキュリティー: クラス MQCONN のプロファイル <MQ_QMNAME>.BATCH への READ アクセス。 たとえば、キュー・マネージャー MQP1 および開始済みタスク ID TASKID には、次のように RACF コマンドを使用します。
    RDEFINE MQCONN MQP1.BATCH UACC(NONE)
    PERMIT MQP1.BATCH CLASS(MQCONN) ID(TASKID) ACCESS(READ)
  • キュー・セキュリティー: すべてのキューのクラス MQQUEUE のプロファイル <MQ_QMNAME>.queue への UPDATE アクセス。 次のキューでのプロファイル作成を考慮します。
    • 総称プロファイル SYSTEM.BROKER.** を使用するすべてのコンポーネント・キュー
    • コンポーネント・キュー・マネージャー間で定義される伝送キュー
    • メッセージ・フローで定義されるキュー
    • デッド・レター・キュー
    たとえば、キュー・マネージャー MQP1 および開始済みタスク ID TASKID には、次のように RACF コマンドを使用して、コンポーネント・キューへのアクセスを制限します。
    RDEFINE MQQUEUE MQP1.SYSTEM.BROKER.** UACC(NONE)
    PERMIT MQP1.SYSTEM.BROKER.** CLASS(MQQUEUE) ID(TASKID) ACCESS(UPDATE)
  • コンテキスト・セキュリティー: クラス MQADMIN のプロファイル <MQ_QMNAME>.CONTEXT への CONTROL アクセス。 たとえば、キュー・マネージャー MQP1 および開始済みタスク ID TASKID には、次の RACF コマンドを使用します。
    RDEFINE MQADMIN MQP1.CONTEXT UACC(NONE)
    PERMIT MQP1.CONTEXT CLASS(MQADMIN) ID(TASKID) ACCESS(CONTROL)
  • 代替ユーザー・セキュリティー: 次のように代替ユーザー権限を定義します。 クラス MQADMIN のプロファイル <MQ_QMNAME>.ALTERNATE.USER.id への UPDATE アクセス。id は、Windows 構成マネージャー・コンポーネントのサービス ID を表します。たとえば、キュー・マネージャー MQP1、開始済みタスク ID TASKID および構成サービス ID CFGID には、次の RACF コマンドを使用します。
    RDEFINE MQADMIN MQP1.ALTERNATE.USER.CFGID UACC(NONE)
    PERMIT MQP1.ALTERNATE.USER.CFGID  CLASS(MQADMIN) ID(TASKID) ACCESS(UPDATE) 
    クラス MQADMIN のプロファイル <MQ_QMNAME>.ALTERNATE.USER.id への UPDATE アクセス。 id は、たとえばパブリッシュ/サブスクライブ要求のユーザー ID を表します。
  • プロセスおよび名前リスト・セキュリティー: WebSphere MQ セキュリティー・スイッチをシステムのプロセスおよび名前リスト・セキュリティーで使用可能にしている場合、WebSphere Business Integration Message Broker デフォルト構成でアクセス・プロファイルを定義する必要はありません。

WebSphere Business Integration Message Broker 管理者に必要な許可

  • コンポーネント PDSE への ALTER アクセス。
  • コンポーネント・ディレクトリーへの READWRITE、および EXECUTE アクセス。
  • <INSTPATH> への READ/EXECUTE アクセス。<INSTPATH> は、WebSphere Business Integration Message Broker for z/OS が SMP/E によってインストールされたディレクトリーです。
  • <INSTPATH>/bin のシェル・スクリプトへの EXECUTE アクセス。
  • UNIX システム・サービスでは、開始済みタスク・ユーザー ID および WebSphere Business Integration Message Broker 管理者ユーザー ID の両方が、インストールおよびコンポーネント・ディレクトリーにアクセスできるグループのメンバーであることが必要です。 これは、両方ともこれらのディレクトリーを扱う特権が必要であるためです。 これらのディレクトリーの所有者は、このグループに適切な許可を与える必要があります。

DB2 管理者に必要な許可

セキュリティーを実際に使用する場合、DB2 コーディネーターは、DB2 構成ジョブ (BIPxDBxx) を実行するために次の許可を必要とします。
  • PDSE 許可: コンポーネント PDSE への ALTER アクセス。
  • ディレクトリー許可: コンポーネント・ディレクトリーへの EXECUTE アクセス。
  • DB2 許可: SYSCTRL または SYSADM 権限。

WebSphere MQ 管理者に必要な許可

WebSphere MQ 構成ジョブ (BIPxMQxx) を実行するには、次の権限が必要です。
  • PDSE 許可: コンポーネント PDSE への READ アクセス。
  • ディレクトリー許可:
    • <INSTPATH>/bin の実行可能ファイルへの READ/EXECUTE アクセス。 <INSTPATH> は、WebSphere Business Integration Message Broker for z/OS が SMP/E によってインストールされたディレクトリーです。
    • コンポーネント・ディレクトリーへの EXECUTE アクセス。
WebSphere MQ リソースを保護するため、WebSphere MQ セキュリティーを使用可能にします。 すべての WebSphere MQ セキュリティー・スイッチが使用可能な場合、次のプロファイルを定義し、WebSphere MQ 管理者が WebSphere MQ 構成ジョブを実行するため、各プロファイルへのリストされるアクセスを付与します。リストされる各プロファイル・アクセスの場合、MQ_QMNAMEWebSphere Business Integration Message Broker コンポーネントが接続される WebSphere MQ キュー・マネージャー、MQADMINWebSphere MQ 管理者 ID を表します。
  • 接続セキュリティー: クラス MQCONN のプロファイル <MQ_QMNAME>.BATCH への READ アクセス。 たとえば、キュー・マネージャー MQP1 および WebSphere MQ 管理者 ID MQADMIN には、次の RACF コマンドを使用します。
    RDEFINE MQCONN MQP1.BATCH UACC(NONE)
    PERMIT MQP1.BATCH CLASS(MQCONN) ID(MQADMIN) ACCESS(READ)
  • キュー・セキュリティー: 作成または削除されるコンポーネント・キューのクラス MQQUEUE のプロファイル <MQ_QMNAME>.queue への UPDATE アクセス。総称プロファイル SYSTEM.BROKER.** を作成できます。たとえば、キュー・マネージャー MQP1 および WebSphere MQ 管理者 ID MQADMIN には、次のように RACF コマンドを使用して、コンポーネント・キューへのアクセスを制限します。
    RDEFINE MQQUEUE MQP1.SYSTEM.BROKER.** UACC(NONE)
    PERMIT MQP1.SYSTEM.BROKER.** CLASS(MQQUEUE) ID(MQADMIN) ACCESS(UPDATE) 
    作成/削除ジョブ中に使用されるいくつかのシステム・キューのクラス MQQUEUE のプロファイル <MQ_QMNAME>.queue への UPDATE アクセス。 総称プロファイル <MQ_QMNAME>.** を作成できます。
  • コマンド・セキュリティー:
    • 必要な BIP$MQ01 ジョブを実行するには、次のようにします。
      • クラス MQCMDS<MQ_QMNAME>.DEFINE.QLOCAL への ALTER アクセス。
      • クラス MQCMDS<MQ_QMNAME>.DEFINE.QMODEL への ALTER アクセス。
    • 必要な BIP#MQ01 ジョブを実行するには、次のようにします。
      • クラス MQCMDS<MQ_QMNAME>.DELETE.QLOCAL への ALTER アクセス。
      • クラス MQCMDS<MQ_QMNAME>.DELETE.QMODEL への ALTER アクセス。
    キュー・マネージャー MQP1 および WebSphere MQ 管理者 ID MQADMIN には、次の RACF コマンドを使用します。
    RDEFINE MQADMIN MQP1.DELETE.QLOCAL UACC(NONE)
    PERMIT MQP1.DELETE.QLOCAL CLASS(MQADMIN) ID(MQADMIN) ACCESS(ALTER)
  • リソース・コマンド・セキュリティー: 作成または削除される各キューごとに、クラス MQADMINMQP1.QUEUE.queue への ALTER アクセス。 総称プロファイル SYSTEM.BROKER.** を作成できます。 たとえば、キュー・マネージャー MQP1 および WebSphere MQ 管理者 ID MQADMIN には、次の RACF コマンドを使用します。
    RDEFINE MQADMIN MQP1.QUEUE.SYSTEM.BROKER.** UACC(NONE)
    PERMIT MQP1.QUEUE.SYSTEM.BROKER.** CLASS(MQADMIN) ID(MQADMIN) ACCESS(ALTER)
  • プロセスおよび名前リスト・セキュリティー: WebSphere MQ セキュリティー・スイッチをシステムのプロセスおよび名前リスト・セキュリティーで使用可能にしている場合、WebSphere Business Integration Message Broker デフォルト構成でアクセス・プロファイルを定義する必要はありません。

RACF を使用した WebSphere MQ セキュリティーのインプリメント方法の詳細については、z/OS: RACF のセキュリティー要件を参照してください。

DB2 サブシステム開始済みタスク・ユーザー ID に必要な許可

DB2 には、DB2_STOR_GROUP_VCAT で指定されるカタログ値への ALTER アクセスが必要です。 この高位修飾子を使用してデータ・セットを作成するためです。

関連タスク
z/OS のセキュリティーのセットアップ

関連資料
カスタマイズ・タスクおよび役割 (z/OS)