Resumen del acceso necesario (z/OS)

La información siguiente resume el acceso que los profesionales de la empresa necesitan.

Autorizaciones necesarias para el ID de usuario de la tarea iniciada de WebSphere Business Integration Message Broker

No se requiere ningún acceso para el PDSE de componente.

Las autorizaciones de directorio necesarias son:
  • Acceso READ/EXECUTE a los ejecutables en <INSTPATH>/bin, donde <INSTPATH> es el directorio donde SMP/E instala WebSphere Business Integration Message Broker para z/OS.
  • Acceso READ/WRITE/EXECUTE al directorio de componentes.
  • Acceso READ/WRITE al directorio inicial.
  • En UNIX System Services, el ID de usuario de la tarea iniciada y el ID de usuario del administrador de WebSphere Business Integration Message Broker deben ser ambos miembros de los grupos que tienen acceso a los directorios de instalación y de componentes, puesto que ambos tiene privilegios sobre ellos. El propietario de estos directorios necesita otorgar los permisos adecuados a este grupo.
Se requieren autorizaciones de DB2 para el ID de usuario de la tarea iniciada y el ID de propietario de tabla:
  • Si hay un perfil para db2subsystem.RRSAF en la clase DSNR, el ID de usuario de la tarea iniciada necesita acceder al perfil. Por ejemplo, el mandato RACF siguiente muestra si el perfil existe:
    RLIST  DSNR (DB2P.RRSAF) 
    y el mandato siguiente otorga el acceso necesario:
    PERMIT  DB2P.RRSAF  CLASS(DSNR) ID(WQMITASK)  ACCESS(READ)
  • Privilegio SELECT sobre las tablas SYSIBM.SYSTABLES, SYSIBM.SYSSYNONYMS y SYSIBM.SYSDATABASE.
  • Privilegios SELECT, UPDATE, INSERT y DELETE sobre todas las tablas del sistema del intermediario.
  • DB2_TABLE_OWNER debe tener un ID de autorización válido del ID de usuario de la tarea iniciada.
  • Autorización EXECUTE sobre el plan DSNACLI o equivalente para el ID de usuario de la tarea iniciada.

Autorizaciones de WebSphere MQ:

Habilite la seguridad de WebSphere MQ para proteger los recursos de WebSphere MQ. Si están activados todos los conmutadores de seguridad de WebSphere MQ, defina los perfiles siguientes y otorgue al ID de usuario de la tarea iniciada el acceso listado a cada perfil. Para cada acceso de perfil listado, <MQ_QMNAME> representa el gestor de colas de WebSphere MQ al que está conectado el componente de WebSphere Business Integration Message Broker y TASKID representa el ID de usuario de la tarea iniciada de WebSphere Business Integration Message Broker.

  • Seguridad de conexión: Acceso READ al perfil <MQ_QMNAME>.BATCH de la clase MQCONN. Por ejemplo, para el gestor de colas MQP1 y el ID de la tarea iniciada TASKID, utilice los mandatos RACF:
    RDEFINE MQCONN MQP1.BATCH UACC(NONE)
    PERMIT MQP1.BATCH CLASS(MQCONN) ID(TASKID) ACCESS(READ)
  • Seguridad de las colas: Acceso UPDATE al perfil <MQ_QMNAME>.queue de la clase MQQUEUE para todas las colas. Considere la posibilidad de crear perfiles para las colas siguientes:
    • Todas las colas de componentes que utilizan el perfil genérico SYSTEM.BROKER.**
    • Todas las colas de transmisión definidas entre gestores de colas de componentes.
    • Cualquier cola definida en flujos de mensajes.
    • Colas de mensajes no entregados.
    Por ejemplo, para el gestor de colas MQP1 y el ID de la tarea iniciada TASKID, utilice los mandatos RACF siguientes para limitar el acceso a las colas de componentes:
    RDEFINE MQQUEUE MQP1.SYSTEM.BROKER.** UACC(NONE)
    PERMIT MQP1.SYSTEM.BROKER.** CLASS(MQQUEUE) ID(TASKID) ACCESS(UPDATE)
  • Seguridad de contexto: Acceso CONTROL al perfil <MQ_QMNAME>.CONTEXT de la clase MQADMIN. Por ejemplo, para el gestor de colas MQP1 y el ID de la tarea iniciada TASKID, utilice los mandatos RACF siguientes:
    RDEFINE MQADMIN MQP1.CONTEXT UACC(NONE)
    PERMIT MQP1.CONTEXT CLASS(MQADMIN) ID(TASKID) ACCESS(CONTROL)
  • Seguridad de usuario alternativo: Defina la autorización de usuario alternativo como: acceso UPDATE al perfil <MQ_QMNAME>.ALTERNATE.USER.id de la clase MQADMIN, donde id representa el ID de servicio del componente del Gestor de configuración de Windows. Por ejemplo, para el gestor de colas MQP1, el ID de la tarea iniciada TASKID y el ID de servicio de configuración CFGID, utilice los mandatos RACF siguientes:
    RDEFINE MQADMIN MQP1.ALTERNATE.USER.CFGID UACC(NONE)
    PERMIT MQP1.ALTERNATE.USER.CFGID  CLASS(MQADMIN) ID(TASKID) ACCESS(UPDATE) 
    Acceso UPDATE al perfil <MQ_QMNAME>.ALTERNATE.USER.id de la clase MQADMIN, donde id representa el ID de usuario de, por ejemplo, una petición de publicación/suscripción.
  • Seguridad de procesos y lista de nombres: Si tiene activados los conmutadores de seguridad de WebSphere MQ en el sistema para seguridad de procesos y lista de nombres, no necesita definir ningún perfil de acceso en una configuración por omisión de WebSphere Business Integration Message Broker.

Autorizaciones necesarias para el administrador de WebSphere Business Integration Message Broker

  • Acceso ALTER al PDSE de componente.
  • Acceso READ, WRITE y EXECUTE al directorio de componentes.
  • Acceso READ/EXECUTE a <INSTPATH>, donde <INSTPATH> es el directorio donde SMP/E instala WebSphere Business Integration Message Broker para z/OS.
  • Acceso EXECUTE a los scripts de shell en <INSTPATH>/bin.
  • En UNIX System Services, el ID de usuario de la tarea iniciada y el ID de usuario del administrador de WebSphere Business Integration Message Broker deben ser ambos miembros de los grupos que tienen acceso a los directorios de instalación y de componentes, puesto que ambos tiene privilegios sobre ellos. El propietario de estos directorios necesita otorgar los permisos adecuados a este grupo.

Autorizaciones necesarias para el administrador de DB2

Si utiliza seguridad, el coordinador de DB2 debe tener las autorizaciones siguientes para ejecutar los trabajos de configuración (BIPxDBxx) de DB2 :
  • Autorizaciones de PDSE: Acceso ALTER al PDSE de componente.
  • Autorizaciones de directorio: Acceso EXECUTE al directorio de componentes.
  • Autorizaciones de DB2: autorización SYSCTRL o SYSADM.

Autorizaciones necesarias para el administrador de WebSphere MQ

Para ejecutar los trabajos de configuración (BIPxMQxx) de WebSphere MQ, necesita las autorizaciones siguientes:
  • Autorizaciones de PDSE: Acceso READ al PDSE de componente.
  • Autorizaciones de directorio:
    • Acceso READ/EXECUTE a los ejecutables en <INSTPATH>/bin, donde <INSTPATH> es el directorio donde SMP/E instala WebSphere Business Integration Message Broker para z/OS.
    • Acceso EXECUTE al directorio de componentes.
Habilite la seguridad de WebSphere MQ para proteger los recursos de WebSphere MQ. Si están activados todos los conmutadores de seguridad de WebSphere MQ, defina los perfiles siguientes y otorgue al administrador de WebSphere MQ el acceso listado a cada perfil a fin de ejecutar los trabajos de configuración de WebSphere MQ. Para cada acceso de perfil listado MQ_QMNAME representa el gestor de colas de WebSphere MQ al que está conectado el componente de WebSphere Business Integration Message Broker y MQADMIN representa el ID de administrador de WebSphere MQ:
  • Seguridad de conexión: Acceso READ al perfil <MQ_QMNAME>.BATCH de la clase MQCONN. Por ejemplo, para el gestor de colas MQP1 y el ID de administrador de WebSphere MQ MQADMIN, utilice los mandatos RACF siguientes:
    RDEFINE MQCONN MQP1.BATCH UACC(NONE)
    PERMIT MQP1.BATCH CLASS(MQCONN) ID(MQADMIN) ACCESS(READ)
  • Seguridad de las colas: Acceso UPDATE al perfil <MQ_QMNAME>.queue de la clase MQQUEUE para colas de componentes creadas o suprimidas. Puede crear un perfil genérico SYSTEM.BROKER.** Por ejemplo, para el gestor de colas MQP1 y el ID de administrador de WebSphere MQ MQADMIN, utilice los mandatos RACF siguientes para limitar el acceso a las colas de componentes:
    RDEFINE MQQUEUE MQP1.SYSTEM.BROKER.** UACC(NONE)
    PERMIT MQP1.SYSTEM.BROKER.** CLASS(MQQUEUE) ID(MQADMIN) ACCESS(UPDATE) 
    El Acceso UPDATE al perfil <MQ_QMNAME>.queue de la clase MQQUEUE para algunas colas del sistema durante el trabajo de creación/supresión. Puede crear un perfil genérico <MQ_QMNAME>.**
  • Seguridad de mandato:
    • Para ejecutar el trabajo BIP$MQ01, necesita:
      • Acceso ALTER a <MQ_QMNAME>.DEFINE.QLOCAL de la clase MQCMDS.
      • Acceso ALTER a <MQ_QMNAME>.DEFINE.QMODEL de la clase MQCMDS.
    • Para ejecutar el trabajo BIP#MQ01, necesita:
      • Acceso ALTER a <MQ_QMNAME>.DELETE.QLOCAL de la clase MQCMDS.
      • Acceso ALTER a <MQ_QMNAME>.DELETE.QMODEL de la clase MQCMDS.
    Para el gestor de colas MQP1 y el ID de administrador de WebSphere MQ, utilice los mandatos RACF siguientes: ID MQADMIN:
    RDEFINE MQADMIN MQP1.DELETE.QLOCAL UACC(NONE)
    PERMIT MQP1.DELETE.QLOCAL CLASS(MQADMIN) ID(MQADMIN) ACCESS(ALTER)
  • Seguridad del mandato de recurso: acceso ALTER a MQP1.QUEUE.queue de la clase MQADMIN para cada cola creada o suprimida. Puede suprimir un perfil genérico SYSTEM.BROKER.**. Por ejemplo, para el gestor de colas MQP1 y el ID de administrador de WebSphere MQ MQADMIN, utilice los mandatos RACF:
    RDEFINE MQADMIN MQP1.QUEUE.SYSTEM.BROKER.** UACC(NONE)
    PERMIT MQP1.QUEUE.SYSTEM.BROKER.** CLASS(MQADMIN) ID(MQADMIN) ACCESS(ALTER)
  • Seguridad de procesos y lista de nombres: Si tiene activados los conmutadores de seguridad de WebSphere MQ en el sistema para seguridad de procesos y lista de nombres, no necesita definir ningún perfil de acceso en una configuración por omisión de WebSphere Business Integration Message Broker.

Si desea una descripción sobre cómo implementar la seguridad de WebSphere MQ utilizando RACF, consulte la sección z/OS: Requisitos de seguridad para RACF.

Autorizaciones necesarias para el ID de usuario de la tarea iniciada del subsistema de DB2

DB2 necesita el acceso ALTER al valor del catálogo especificado en DB2_STOR_GROUP_VCAT, puesto que crea conjuntos de datos con este calificador de alto nivel.

Tareas relacionadas
Configuración de la seguridad de z/OS

Referencia relacionada
Tareas y funciones de personalización (z/OS)