Resumo de Acesso Requerido (z/OS)

As informações a seguir resumem o acesso que os profissionais requerem em sua organização.

Autorizações Requeridas para o ID do Usuário de Tarefa Iniciada do WebSphere Business Integration Event Broker

Nenhum acesso é requerido para o componente PDSE.

As autorizações de diretório requeridas são:
  • Acesso de READ/EXECUTE aos executáveis no <INSTPATH>/bin, em que <INSTPATH> é o diretório em que WebSphere Business Integration Event Broker para o z/OS é instalado pelo SMP/E.
  • Acesso de READ/WRITE/EXECUTE para o diretório do componente.
  • Acesso de READ/WRITE para o diretório home.
  • No UNIX System Services, o ID do usuário da tarefa iniciada e o ID do usuário do administrador do WebSphere Business Integration Event Broker devem ser membros dos grupos que possuem acesso aos diretórios de instalação e de componentes, porque ambos precisam de privilégios em relação a eles. O proprietário desses diretórios precisa fornecer as permissões apropriadas a esse grupo.
Autorizações do DB2 para o ID do usuário de tarefa iniciada e para o ID do proprietário da tabela:
  • Se houver um perfil para db2subsystem.RRSAF na classe DSNR o ID do usuário da tarefa iniciada precisará de acesso ao perfil. Por exemplo, o seguinte comando RACF mostra se o perfil existe:
    RLIST  DSNR (DB2P.RRSAF)
    e o seguinte comando fornece o acesso necessário:
    PERMIT  DB2P.RRSAF  CLASS(DSNR) ID(WQMITASK)  ACCESS(READ)
  • Privilégio SELECT nas tabelas SYSIBM.SYSTABLES, SYSIBM.SYSSYNONYMS e SYSIBM.SYSDATABASE.
  • Privilégios de SELECT, UPDATE, INSERT e DELETE em todas as tabelas do sistema do intermediário.
  • DB2_TABLE_OWNER deve ser um ID de autorização válido do ID do usuário da tarefa iniciada.
  • Autoridade EXECUTE no plano DSNACLI ou equivalente do ID do usuário da tarefa iniciada.

Autorizações do WebSphere MQ:

Ative a segurança do WebSphere MQ para proteger os recursos do WebSphere MQ. Se todas as opções de segurança do WebSphere MQ estiverem ativadas, defina os seguintes perfis e forneça ao ID do usuário da tarefa iniciada o acesso relacionado a cada perfil. Para cada acesso de perfil listado, <MQ_QMNAME> representa o gerenciador de filas do WebSphere MQ com o qual o componente do WebSphere Business Integration Event Broker está conectado e TASKID representa o ID do usuário da tarefa iniciada do WebSphere Business Integration Event Broker.

  • Segurança de conexão: acesso de READ ao perfil <MQ_QMNAME>.BATCH da classe MQCONN. Por exemplo, para o gerenciador de filas MQP1 e o ID de tarefa iniciada TASKID, utilize os comandos RACF:
    RDEFINE MQCONN MQP1.BATCH UACC(NONE)
    PERMIT MQP1.BATCH CLASS(MQCONN) ID(TASKID) ACCESS(READ)
  • Segurança de fila: acesso UPDATE ao perfil <MQ_QMNAME>.queue da classe MQQUEUE para todas as filas. Considere a criação de perfis para as seguintes filas:
    • Todas as filas de componente que utilizam o perfil genérico SYSTEM.BROKER.**
    • Quaisquer filas de transmissões definidas entre gerenciadores de filas de componente.
    • Quaisquer filas definidas em fluxos de mensagem.
    • Filas Dead-letter.
    Por exemplo, para o gerenciador de filas MQP1 e o ID de tarefa iniciada TASKID, utilize o seguinte comando RACF para restringir o acesso a filas de componentes:
    RDEFINE MQQUEUE MQP1.SYSTEM.BROKER.** UACC(NONE)
    PERMIT MQP1.SYSTEM.BROKER.** CLASS(MQQUEUE) ID(TASKID) ACCESS(UPDATE)
  • Segurança de contexto: acesso CONTROL ao perfil <MQ_QMNAME>.CONTEXT da classe MQADMIN. Por exemplo, para o gerenciador de filas MQP1 e o ID de tarefa iniciada TASKID, utilize os seguintes comandos RACF:
    RDEFINE MQADMIN MQP1.CONTEXT UACC(NONE)
    PERMIT MQP1.CONTEXT CLASS(MQADMIN) ID(TASKID) ACCESS(CONTROL)
  • Segurança alternativa do usuário: Defina a autoridade alternativa do usuário como: acesso de UPDATE ao perfil <MQ_QMNAME>.ALTERNATE.USER.id de classe MQADMIN, em que id representa o ID de serviço do componente Configuration Manager do Windows. Por exemplo, para o gerenciador de filas MQP1, o ID de tarefa iniciada TASKID e o ID de serviço de configuração CFGID, utilize os seguintes comandos RACF:
    RDEFINE MQADMIN MQP1.ALTERNATE.USER.CFGID UACC(NONE)
    PERMIT MQP1.ALTERNATE.USER.CFGID  CLASS(MQADMIN) ID(TASKID) ACCESS(UPDATE)
    Acesso UPDATEao perfil <MQ_QMNAME>.ALTERNATE.USER.id da classe MQADMIN, em que id representa o ID do usuário de, por exemplo, um pedido de Publicação/Assinatura.
  • Segurança de processo e namelist: Se você tiver opções de segurança do WebSphere MQ ativadas no sistema para segurança de processo e namelist, não é necessário definir nenhum perfil de acesso em uma configuração padrão do WebSphere Business Integration Event Broker.

Autorizações Requeridas para o Administrador do WebSphere Business Integration Event Broker

  • Acesso ALTER ao componente PDSE.
  • Acesso de READ, WRITE e EXECUTE para o diretório de componentes.
  • Acesso READ/EXECUTE ao <INSTPATH>, em que <INSTPATH> é o diretório no qual o WebSphere Business Integration Event Broker para z/OS foi instalado pelo SMP/E.
  • Acesso de EXECUTE para os scripts de shell em <INSTPATH>/bin.
  • No UNIX System Services, o ID do usuário da tarefa iniciada e o ID do usuário do administrador do WebSphere Business Integration Event Broker devem ser membros dos grupos que possuem acesso aos diretórios de instalação e de componentes, porque ambos precisam de privilégios em relação a eles. O proprietário desses diretórios precisa fornecer as permissões apropriadas a esse grupo.

Autorizações Requeridas para o Administrador do DB2

Se você utilizar segurança, o coordenador do DB2 precisará ter as seguintes autorizações para executar os jobs de configuração do DB2 (BIPxDBxx):
  • Autorizações do PDSE: Acesso ALTER ao componente PDSE.
  • Autorizações de diretório: Acesso EXECUTE ao diretório do componente.
  • Autorizações do DB2: Autoridade SYSCTRL ou SYSADM.

Autorizações Requeridas para o Administrador do WebSphere MQ

Para executar os jobs de configuração (BIPxMQxx) do WebSphere MQ, são necessárias as seguintes autorizações:
  • Autorizações do PDSE: Acesso READ ao componente PDSE.
  • Autorizações de diretório:
    • Acesso de READ/EXECUTE aos executáveis no <INSTPATH>/bin, em que <INSTPATH> é o diretório em que WebSphere Business Integration Event Broker para o z/OS é instalado pelo SMP/E.
    • Acesso EXECUTE ao diretório do componente.
Ative a segurança do WebSphere MQ para proteger os recursos do WebSphere MQ. Se todas as chaves de segurança do WebSphere MQ estiverem ativadas, defina os seguintes perfis e conceda ao administrador do WebSphere MQ o acesso listado a cada perfil para executar os jobs de configuração do WebSphere MQ. Para cada acesso de perfil listado, MQ_QMNAME representa o gerenciador de filas do WebSphere MQ com o qual o componente do WebSphere Business Integration Event Broker está conectado e MQADMIN representa o ID do administrador do WebSphere MQ:
  • Segurança de conexão: acesso de READ ao perfil <MQ_QMNAME>.BATCH da classe MQCONN. Por exemplo, para o gerenciador de filas MQP1 e o ID do administrador MQADMIN do WebSphere MQ utilize os seguintes comandos RACF:
    RDEFINE MQCONN MQP1.BATCH UACC(NONE)
    PERMIT MQP1.BATCH CLASS(MQCONN) ID(MQADMIN) ACCESS(READ)
  • Segurança de fila: Acesso de UPDATE ao perfil <MQ_QMNAME>.queue da classe MQQUEUE para filas de componentes criados ou excluídos. É possível criar um perfil genérico SYSTEM.BROKER.** Por exemplo, para o gerenciador de filas MQP1 e o ID do administrador MQADMIN do WebSphere MQ, utilize o seguinte comando RACF para restringir o acesso a filas de componentes:
    RDEFINE MQQUEUE MQP1.SYSTEM.BROKER.** UACC(NONE)
    PERMIT MQP1.SYSTEM.BROKER.** CLASS(MQQUEUE) ID(MQADMIN) ACCESS(UPDATE) 
    Acesso de UPDATE ao perfil <MQ_QMNAME>.queue da classe MQQUEUE para algumas filas do sistema utilizadas durante o job de criação/exclusão. É possível criar um perfil genérico <MQ_QMNAME>.**
  • Segurança do comando:
    • Para executar o job BIP$MQ01, você precisa de:
      • Acesso ALTER ao <MQ_QMNAME>.DEFINE.QLOCAL da classe MQCMDS.
      • Acesso ALTER ao <MQ_QMNAME>.DEFINE.QMODEL da classe MQCMDS.
    • Para executar o job BIP#MQ01, você precisa de:
      • Acesso ALTER ao <MQ_QMNAME>.DELETE.QLOCAL da classe MQCMDS.
      • Acesso ALTER ao <MQ_QMNAME>.DELETE.QMODEL da classe MQCMDS.
    Para o gerenciador de filas MQP1 e o ID do administrador do WebSphere MQ MQADMIN, utilize os comandos RACF a seguir:
    RDEFINE MQADMIN MQP1.DELETE.QLOCAL UACC(NONE)
    PERMIT MQP1.DELETE.QLOCAL CLASS(MQADMIN) ID(MQADMIN) ACCESS(ALTER)
  • Segurança de comando do recurso: Acesso de ALTER para MQP1.QUEUE.queue da classe MQADMIN para cada fila criada ou excluída. É possível criar um perfil genérico SYSTEM.BROKER.**. Por exemplo, para o gerenciador de filas MQP1 e o ID do administrador MQADMIN do WebSphere MQ, utilize os seguintes comandos RACF:
    RDEFINE MQADMIN MQP1.QUEUE.SYSTEM.BROKER.** UACC(NONE)
    PERMIT MQP1.QUEUE.SYSTEM.BROKER.** CLASS(MQADMIN) ID(MQADMIN) ACCESS(ALTER)
  • Segurança de processo e namelist: Se você tiver opções de segurança do WebSphere MQ ativadas no sistema para segurança de processo e namelist, não é necessário definir nenhum perfil de acesso em uma configuração padrão do WebSphere Business Integration Event Broker.

Para obter uma descrição de como implementar a segurança do WebSphere MQ utilizando o RACF, consulte z/OS: Requisitos de Segurança para RACF.

Autorizações Requeridas para o ID do Usuário de Tarefa Iniciada do Subsistema DB2

O DB2 precisa do acesso ALTER ao valor do catálogo especificado em DB2_STOR_GROUP_VCAT porque ele cria conjuntos de dados com esse qualificador de alto nível.

Tarefas relacionadas
Configurando a Segurança no z/OS

Referências relacionadas
Tarefas e Funções de Personalização (z/OS)