필수 액세스 요약(z/OS)

다음 정보는 조직의 전문가에게 필요한 액세스 권한을 요약하여 보여줍니다.

WebSphere Message Broker 시작 작업 사용자 ID에 필요한 권한 부여

PDSE 구성요소에 대한 액세스 권한은 필요하지 않습니다.

필요한 디렉토리 권한 부여는 다음과 같습니다.
  • <INSTPATH>/bin에 있는 실행 파일에 대한 읽기/실행 액세스. 여기서 <INSTPATH>는 SMP/E가 z/OSWebSphere Message Broker를 설치한 디렉토리입니다.
  • 구성요소 디렉토리로의 읽기/쓰기/실행 액세스.
  • 홈 디렉토리로의 읽기/쓰기 액세스.
  • UNIX 시스템 서비스에서 시작 작업 사용자 ID 및 WebSphere Message Broker 관리자 사용자 ID는 모두 설치 및 구성요소에 대한 권한이 필요하므로, 이 디렉토리에 액세스할 수 있는 그룹의 구성원이어야 합니다. 이러한 디렉토리의 소유자는 이 그룹에 적절한 그룹을 부여해야 합니다.
시작 작업 사용자 ID 및 테이블 소유자 ID에 대한 DB2 권한 부여가 필요합니다.
  • DSNR 클래스에 db2subsystem.RRSAF에 대한 프로파일이 있는 경우, 시작 작업 사용자 ID에 프로파일 액세스 권한이 있어야 합니다. 예를 들어, 다음 RACF 명령은 프로파일의 존재 여부를 표시합니다.
    RLIST  DSNR (DB2P.RRSAF) 
    그리고 다음 명령은 필요한 액세스 권한을 부여합니다.
    PERMIT  DB2P.RRSAF  CLASS(DSNR) ID(WQMITASK)  ACCESS(READ)
  • SYSIBM.SYSTABLES, SYSIBM.SYSSYNONYMS 및 SYSIBM.SYSDATABASE 테이블에 대한 선택 권한.
  • 모든 브로커 시스템 테이블에 대한 선택, 갱신, 삽입삭제 권한.
  • DB2_TABLE_OWNER는 시작 작업 사용자 ID의 올바른 권한 부여 ID여야 합니다.
  • DSNACLI 계획에 대한 실행 권한 또는 시작 작업 사용자 ID에 대한 동등한 권한.

WebSphere MQ 권한 부여:

WebSphere MQ 자원을 보호하려면 WebSphere MQ 보안을 사용하십시오. 모든 WebSphere MQ 보안 스위치가 사용 가능한 경우, 다음 프로파일을 정의하고 시작 작업 사용자 ID에 나열된 각 프로파일 액세스 권한을 부여하십시오. 나열된 각 프로파일 액세스에 대해 <MQ_QMNAME>WebSphere Message Broker 구성요소가 연결된 WebSphere MQ 큐 관리자를 나타내고 TASKIDWebSphere Message Broker 시작 작업 사용자 ID를 나타냅니다.

  • 연결 보안: MQCONN 클래스의 <MQ_QMNAME>.BATCH 프로파일에 대한 읽기 액세스 권한. 예를 들어, 큐 관리자 MQP1 및 시작 작업 ID TASKID에 대해 다음 RACF 명령을 사용하십시오.
    RDEFINE MQCONN MQP1.BATCH UACC(NONE)
    PERMIT MQP1.BATCH CLASS(MQCONN) ID(TASKID) ACCESS(READ)
  • 큐 보안: 모든 큐에 대해 MQQUEUE 클래스의 <MQ_QMNAME>.queue 프로파일에 대한 갱신 액세스 권한. 다음 큐에 대해 프로파일 작성을 고려하십시오.
    • 일반 프로파일인 SYSTEM.BROKER.**를 사용하는 모든 구성요소 큐
    • 구성요소 큐 관리자 간에 정의된 모든 트랜스미션 큐
    • 메시지 플로우에 정의된 모든 큐
    • 데드-레터 큐
    예를 들어, 큐 관리자 MQP1 및 시작 작업 ID TASKID에 대해 다음의 RACF 명령을 사용하여 구성요소 큐에 대한 액세스를 제한하십시오.
    RDEFINE MQQUEUE MQP1.SYSTEM.BROKER.** UACC(NONE)
    PERMIT MQP1.SYSTEM.BROKER.** CLASS(MQQUEUE) ID(TASKID) ACCESS(UPDATE)
  • 컨텍스트 보안: MQADMIN 클래스의 <MQ_QMNAME>.CONTEXT 프로파일에 대한 제어 액세스 권한. 예를 들어, 큐 관리자 MQP1 및 시작 작업 ID TASKID에 대해 다음 RACF 명령을 사용하십시오.
    RDEFINE MQADMIN MQP1.CONTEXT UACC(NONE)
    PERMIT MQP1.CONTEXT CLASS(MQADMIN) ID(TASKID) ACCESS(CONTROL)
  • 대체 사용자 보안: 다음과 같이 대체 사용자 권한을 정의하십시오. MQADMIN 클래스의 <MQ_QMNAME>.ALTERNATE.USER.id 프로파일에 대한 갱신 액세스 권한. 여기서 id는 Windows 구성 관리자 구성요소의 서비스 ID를 나타냅니다. 예를 들어, 큐 관리자 MQP1, 시작 작업 ID TASKID 및 구성 서비스 ID CFGID에 대해 다음 RACF 명령을 사용하십시오.
    RDEFINE MQADMIN MQP1.ALTERNATE.USER.CFGID UACC(NONE)
    PERMIT MQP1.ALTERNATE.USER.CFGID  CLASS(MQADMIN) ID(TASKID) ACCESS(UPDATE) 
    MQADMIN 클래스의 <MQ_QMNAME>.ALTERNATE.USER.id 프로파일에 대한 갱신 액세스 권한. 여기서 id는 Publish/Subscribe와 같은 요청의 사용자 ID를 나타냅니다.
  • 프로세스 및 이름 목록 보안: 시스템에서 프로세스 및 이름 목록 보안에 대해 WebSphere MQ 보안 스위치가 사용 가능한 경우, WebSphere Message Broker 디폴트 구성에 액세스 프로파일을 정의할 필요가 없습니다.

WebSphere Message Broker 관리자에게 필요한 권한 부여

  • 구성요소 PDSE로의 대체 액세스.
  • directory 구성요소에 대한 읽기, 쓰기실행 액세스 권한
  • <INSTPATH>에 대한 읽기/실행 액세스 권한. 여기서 <INSTPATH>는 SMP/E가 z/OSWebSphere Message Broker를 설치한 디렉토리입니다.
  • <INSTPATH>/bin에서 쉘 스크립트에 대한 실행 액세스 권한
  • UNIX 시스템 서비스에서 시작 작업 사용자 ID 및 WebSphere Message Broker 관리자 사용자 ID는 모두 설치 및 구성요소에 대한 권한이 필요하므로, 이 디렉토리에 액세스할 수 있는 그룹의 구성원이어야 합니다. 이러한 디렉토리의 소유자는 이 그룹에 적절한 그룹을 부여해야 합니다.

DB2 관리자에게 필요한 권한 부여

보안을 사용하는 경우, DB2 코디네이터가 DB2구성 작업(BIPxDBxx)을 실행하려면 다음 권한이 있어야 합니다.
  • PDSE 권한 부여: 구성요소 PDSE로의 대체 액세스
  • 디렉토리 권한 부여: 구성요소 디렉토리로의 실행 액세스
  • DB2 권한 부여: SYSCTRL 또는 SYSADM 권한

WebSphere MQ 관리자에게 필요한 권한 부여

WebSphere MQ 구성 작업(BIPxMQxx)을 실행하려면 다음 권한이 필요합니다.
  • PDSE 권한 부여: 구성요소 PDSE로의 읽기 액세스.
  • 디렉토리 권한 부여:
    • <INSTPATH>/bin에 있는 실행 파일에 대한 읽기/실행 액세스. 여기서 <INSTPATH>는 SMP/E가 z/OSWebSphere Message Broker를 설치한 디렉토리입니다.
    • 구성요소 디렉토리로의 실행 액세스.
WebSphere MQ 자원을 보호하려면 WebSphere MQ 보안을 사용하십시오. 모든 WebSphere MQ 보안 스위치가 사용 가능한 경우, WebSphere MQ 구성 작업을 실행하려면 다음 프로파일을 정의하고 WebSphere MQ 관리자에게 나열된 각 프로파일 액세스 권한을 부여하십시오. 나열된 각 프로파일 액세스에 대해 MQ_QMNAMEWebSphere Message Broker 구성요소가 연결된 WebSphere MQ 큐 관리자를 나타내고 MQADMINWebSphere MQ 관리자 ID를 나타냅니다.
  • 연결 보안: MQCONN 클래스의 <MQ_QMNAME>.BATCH 프로파일에 대한 읽기 액세스 권한. 예를 들어, 큐 관리자 MQP1WebSphere MQ 관리자 ID MQADMIN에 대해 다음 RACF 명령을 사용하십시오.
    RDEFINE MQCONN MQP1.BATCH UACC(NONE)
    PERMIT MQP1.BATCH CLASS(MQCONN) ID(MQADMIN) ACCESS(READ)
  • 큐 보안: 작성 또는 삭제된 구성요소 큐에 대해 MQQUEUE 클래스의 <MQ_QMNAME>.queue 프로파일에 대한 갱신 액세스 권한. 일반 프로파일 SYSTEM.BROKER.**를 작성할 수 있습니다. 예를 들어, 큐 관리자 MQP1WebSphere MQ 관리자 ID MQADMIN에 대해 다음의 RACF 명령을 사용하여 구성요소 큐에 대한 액세스를 제한하십시오.
    RDEFINE MQQUEUE MQP1.SYSTEM.BROKER.** UACC(NONE)
    PERMIT MQP1.SYSTEM.BROKER.** CLASS(MQQUEUE) ID(MQADMIN) ACCESS(UPDATE) 
    작성/삭제 작업 중에 사용되는 일부 시스템 큐에 대해 MQQUEUE 클래스의 <MQ_QMNAME>.queue 프로파일에 대한 갱신 액세스 권한. 일반 프로파일 <MQ_QMNAME>.**을 작성할 수 있습니다.
  • 명령 보안:
    • BIP$MQ01 작업을 실행하려면 다음이 필요합니다.
      • MQCMDS 클래스의 <MQ_QMNAME>.DEFINE.QLOCAL 에 대한 대체 액세스 권한
      • MQCMDS 클래스의 <MQ_QMNAME>.DEFINE.QMODEL에 대한 대체 액세스 권한
    • BIP#MQ01 작업을 실행하려면 다음이 필요합니다.
      • MQCMDS 클래스의 <MQ_QMNAME>.DELETE.QLOCAL에 대한 대체 액세스 권한
      • MQCMDS 클래스의 <MQ_QMNAME>.DELETE.QMODEL에 대한 대체 액세스 권한
    큐 관리자 MQP1WebSphere MQ 관리자 ID MQADMIN에 대해 다음 RACF 명령을 사용하십시오.
    RDEFINE MQADMIN MQP1.DELETE.QLOCAL UACC(NONE)
    PERMIT MQP1.DELETE.QLOCAL CLASS(MQADMIN) ID(MQADMIN) ACCESS(ALTER)
  • 자원 명령 보안: 작성되거나 삭제된 각 큐에 대해 MQADMIN 클래스의 MQP1.QUEUE.queue에 대한 대체 액세스 권한. 일반 프로파일 SYSTEM.BROKER.**를 작성할 수 있습니다. 예를 들어, 큐 관리자 MQP1WebSphere MQ 관리자 ID MQADMIN에 대해 다음 RACF 명령을 사용하십시오.
    RDEFINE MQADMIN MQP1.QUEUE.SYSTEM.BROKER.** UACC(NONE)
    PERMIT MQP1.QUEUE.SYSTEM.BROKER.** CLASS(MQADMIN) ID(MQADMIN) ACCESS(ALTER)
  • 프로세스 및 이름 목록 보안: 시스템에서 프로세스 및 이름 목록 보안에 대해 WebSphere MQ 보안 스위치가 사용 가능한 경우, WebSphere Message Broker 디폴트 구성에 액세스 프로파일을 정의할 필요가 없습니다.

RACF를 사용하여 WebSphere MQ 보안을 구현하는 방법에 대한 설명은 z/OS에 대한 보안 요구사항을 참조하십시오.

DB2 서브시스템 시작 작업 사용자 ID에 필요한 권한 부여

DB2는 DB2_STOR_GROUP_VCAT 상위 레벨의 규정자를 사용하여 데이터 세트를 작성하므로 이 규정자에 지정된 카탈로그 값에 대한 대체 액세스 권한이 있어야 합니다.

관련 작업
z/OS 보안 설정
주의사항 | 등록상표 | 다운로드 | 라이브러리 | 지원 | 피드백
Copyright IBM Corporation 1999, 2005 마지막 갱신 날짜: 11/08/2005
ae14040_