Resumen de acceso requerido (z/OS)

La siguiente información resume el acceso que requieren los profesionales de la organización.

Autorizaciones necesarias para el ID de usuario de tarea iniciada de WebSphere Message Broker

No se requiere acceso al PDSE del componente.

Las autorizaciones necesarias sobre el directorio son:
  • Acceso de lectura/grabación (READ/EXECUTE) para los ejecutables de <INSTPATH>/bin, donde <INSTPATH> es el directorio en el que SMP/E ha instalado WebSphere Message Broker para z/OS.
  • Acceso de lectura/grabación/ejecución (READ/WRITE/EXECUTE) para el directorio del componente.
  • Acceso de lectura/grabación (READ/WRITE) para el directorio inicial.
  • En UNIX System Services, el ID de usuario de la tarea iniciada y el ID de usuario del administrador de WebSphere Message Broker han de ser ambos miembros de los grupos que tienen acceso a los directorios de instalación y del componente, ya que ambos necesitan privilegios sobre éstos. El propietario de esos directorios ha de otorgar los privilegios oportunos a ese grupo.
Se requieren autorizaciones de DB2 para el ID de usuario de la tarea iniciada:
  • si hay un perfil para db2subsystem.RRSAF en la clase DSNR, el ID de usuario de la tarea iniciada requiere el acceso al perfil. Por ejemplo, el siguiente mandato RACF indica si el perfil existe:
    RLIST  DSNR (DB2P.RRSAF) 
    y el siguiente mandato proporciona el acceso requerido:
    PERMIT  DB2P.RRSAF  CLASS(DSNR) ID(WQMITASK) ACCESS(READ)
  • Privilegio de selección (SELECT) sobre las tablas SYSIBM.SYSTABLES, SYSIBM.SYSSYNONYMS y SYSIBM.SYSDATABASE.
  • Privilegios de selección (SELECT), actualización (UPDATE), inserción (INSERT) y supresión (DELETE) sobre todas las tablas del sistema del intermediario.
  • DB2_TABLE_OWNER ha de ser un ID de autorización válido del ID de usuario de la tarea iniciada.
  • Autorización de ejecución (EXECUTE) sobre el plan DSNACLI o equivalente para cada ID de usuario de tarea iniciada.

Autorizaciones de WebSphere MQ:

Habilite la seguridad de WebSphere MQ para proteger los recursos de WebSphere MQ. Si todos los conmutadores de seguridad de WebSphere MQ están habilitados, defina los siguientes perfiles y proporcione al ID de usuario de la tarea iniciada el acceso listado para cada perfil. Para cada acceso de perfil listado, <MQ_QMNAME> representa el gestor de colas WebSphere MQ al que el componente de WebSphere Message Broker está conectado y TASKID representa el ID de usuario WebSphere Message Broker de la tarea iniciada.

  • Seguridad de la conexión: acceso de lectura (READ) del perfil <MQ_QMNAME>.BATCH de la clase MQCONN. Por ejemplo, para el gestor de colas MQP1 y el ID de la tarea iniciada, TASKID, utilice los mandatos RAC:
    RDEFINE MQCONN MQP1.BATCH UACC(NONE)
    PERMIT MQP1.BATCH CLASS(MQCONN) ID(TASKID) ACCESS(READ)
  • Seguridad de cola: acceso de actualización (UPDATE) del perfil <MQ_QMNAME>.cola de la clase MQQUEUE para todas las colas. Vea si es conveniente crear perfiles para las siguientes colas:
    • Todas las colas del componente que utilicen el perfil genérico SYSTEM.BROKER.**
    • Todas las colas de transmisión definidas entre gestores de colas del componente.
    • Todas las colas definidas en flujos de mensajes.
    • Colas de mensajes no entregados.
    Por ejemplo, para el gestor de colas MQP1 y el ID de tarea iniciada TASKID, use los siguientes mandatos RACF para limitar el acceso a las colas del componente:
    RDEFINE MQQUEUE MQP1.SYSTEM.BROKER.** UACC(NONE)
    PERMIT MQP1.SYSTEM.BROKER.** CLASS(MQQUEUE) ID(TASKID) ACCESS(UPDATE)
  • Seguridad de contexto: acceso de CONTROL al perfil <MQ_QMNAME>.CONTEXT de la clase MQADMIN. Por ejemplo, para el gestor de colas MQP1 y el ID de la tarea iniciada, TASKID, utilice los siguientes mandatos RAC:
    RDEFINE MQADMIN MQP1.CONTEXT UACC(NONE)
    PERMIT MQP1.CONTEXT CLASS(MQADMIN) ID(TASKID) ACCESS(CONTROL)
  • Seguridad de usuario alternativo: defina la seguridad del usuario alternativo como: acceso de actualización (UPDATE) del perfil <MQ_QMNAME>.ALTERNATE.USER.id de la clase MQADMIN, donde id representa el ID de servicio del componente Gestor de configuración de Windows. Por ejemplo, para el gestor de colas MQP1, ID de tarea iniciada TASKID e ID de servicio de configuración CFGID, utilice los siguientes mandatos RACF:
    RDEFINE MQADMIN MQP1.ALTERNATE.USER.CFGID UACC(NONE)
    PERMIT MQP1.ALTERNATE.USER.CFGID  CLASS(MQADMIN) ID(TASKID) ACCESS(UPDATE) 
    Acceso de actualización (UPDATE) del perfil <MQ_QMNAME>.ALTERNATE.USER.id de la clase MQADMIN, donde id representa el ID de usuario de, por ejemplo, una petición de publicación/suscripción.
  • Seguridad de proceso y de lista de nombres; si tiene conmutadores de seguridad WebSphere MQ habilitados en el sistema para la seguridad del proceso y la lista de nombres, no es necesario que defina ningún acceso a perfile en una configuración por omisión de WebSphere Message Broker.

Autorizaciones necesarias para el administrador de WebSphere Message Broker

  • Acceso de modificación (ALTER) para el PDSE del componente.
  • Acceso de lectura (READ), escritura (WRITE) y ejecución (EXECUTE) para el directorio del componente.
  • Acceso de lectura/ejecución (READ/EXECUTE) a <INSTPATH>, donde <INSTPATH> es el directorio donde SMP/E ha instalado WebSphere Message Broker para z/OS.
  • Acceso de ejecución (EXECUTE) para los scripts del shell en <INSTPATH>/bin.
  • En UNIX System Services, el ID de usuario de la tarea iniciada y el ID de usuario del administrador de WebSphere Message Broker han de ser ambos miembros de los grupos que tienen acceso a los directorios de instalación y del componente, ya que ambos necesitan privilegios sobre éstos. El propietario de esos directorios ha de otorgar los privilegios oportunos a ese grupo.

Autorizaciones necesarias para el administrador de DB2

Si utiliza la seguridad, el coordinador de DB2 necesitará tener las siguientes autorizaciones para ejecutar los trabajos de DB2 configuración (BIPxDBxx):
  • Autorizaciones de PDSE: acceso de modificación (ALTER) para el PDSE del componente.
  • Autorizaciones del directorio: acceso de ejecución (EXECUTE) para el directorio del componente.
  • Autorizaciones DB2: autorización SYSCTRL o SYSADM.

Autorizaciones necesarias para el administrador de WebSphere MQ

Para ejecutar los trabajos de ejecución de WebSphere MQ (BIPxMQxx) se requieren las siguientes autorizaciones:
  • Autorizaciones de PDSE: acceso de modificación (READ) para el PDSE del componente.
  • Autorizaciones de directorio:
    • Acceso de lectura/grabación (READ/EXECUTE) para los ejecutables de <INSTPATH>/bin, donde <INSTPATH> es el directorio en el que SMP/E ha instalado WebSphere Message Broker para z/OS.
    • Acceso de ejecución (EXECUTE) para el directorio del componente.
Habilite la seguridad de WebSphere MQ para proteger los recursos de WebSphere MQ. Si todos los conmutadores de seguridad de WebSphere MQ están habilitados, defina los siguientes perfiles y proporcione al administrador de WebSphere MQ el acceso listado para cada perfil a fin de ejecutar los trabajos de configuración de WebSphere MQ. Para cada acceso de perfil listado, MQ_QMNAME> representa el gestor de colas WebSphere MQ al que el componente de WebSphere Message Broker está conectado y MQADMIN representa el ID del administrador de WebSphere MQ:
  • Seguridad de la conexión: acceso de lectura (READ) del perfil <MQ_QMNAME>.BATCH de la clase MQCONN. Por ejemplo, para el gestor de colas MQP1 y el ID del administrador de WebSphere MQ MQADMIN, use los siguientes mandatos RACF:
    RDEFINE
    MQCONN MQP1.BATCH UACC(NONE)
    PERMIT MQP1.BATCH CLASS(MQCONN) ID(MQADMIN) ACCESS(READ)
  • Seguridad de cola: acceso de actualización (UPDATE) del perfil <MQ_QMNAME>.cola de la clase MQQUEUE para las colas del componente creadas o suprimidas. Puede crear un perfil genérico SYSTEM.BROKER.** Por ejemplo, para el gestor de colas MQP1 y el ID de administrador de WebSphere MQ, MQADMIN, utilice los siguientes mandatos RACF para limitar el acceso a las colas del componente:
    RDEFINE MQQUEUE MQP1.SYSTEM.BROKER.** UACC(NONE)
    PERMIT MQP1.SYSTEM.BROKER.** CLASS(MQQUEUE) ID(MQADMIN) ACCESS(UPDATE) 
    Acceso de actualización (UPDATE) al perfil <MQ_QMNAME>.cola de la clase MQQUEUE para algunas colas del sistema utilizadas durante el trabajo de creación/supresión. Puede crear un perfil genérico <MQ_QMNAME>.**
  • Seguridad de mandatos
    • Para ejecutar el trabajo BIP$MQ01 necesita:
      • Acceso de modificación (ALTER) para <MQ_QMNAME>.DEFINE.QLOCAL de la clase MQCMDS.
      • Acceso de modificación (ALTER) para <MQ_QMNAME>.DEFINE.QMODEL de la clase MQCMDS.
    • Para ejecutar el trabajo BIP#MQ01 necesita:
      • Acceso de modificación (ALTER) para <MQ_QMNAME>.DELETE.QLOCAL de la clase MQCMDS.
      • Acceso de modificación (ALTER) para <MQ_QMNAME>.DELETE.QMODEL de la clase MQCMDS.
    Para el gestor de colas MQP1 y el ID del administrador de WebSphere MQ, MQADMIN, use los siguientes mandatos RACF:
    RDEFINE MQADMIN MQP1.DELETE.QLOCAL UACC(NONE)
    PERMIT MQP1.DELETE.QLOCAL CLASS(MQADMIN) ID(MQADMIN) ACCESS(ALTER)
  • Seguridad de mandatos de recursos: acceso de modificación (ALTER) para MQP1.QUEUE.cola de la clase MQADMIN para cada cola creada o suprimida. Puede crear un perfil genérico SYSTEM.BROKER.**. Por ejemplo, para el gestor de colas MQP1 y el ID de administrador de WebSphere MQ MQADMIN, use los mandatos RACF:
    RDEFINE MQADMIN MQP1.QUEUE.SYSTEM.BROKER.** UACC(NONE)
    PERMIT MQP1.QUEUE.SYSTEM.BROKER.** CLASS(MQADMIN) ID(MQADMIN) ACCESS(ALTER)
  • Seguridad de proceso y de lista de nombres; si tiene conmutadores de seguridad WebSphere MQ habilitados en el sistema para la seguridad del proceso y la lista de nombres, no es necesario que defina ningún acceso a perfile en una configuración por omisión de WebSphere Message Broker.

Si desea ver una descripción de la implementación de la seguridad de WebSphere MQ usando RACF, consulte el apartado Requisitos de seguridad para z/OS.

Autorizaciones necesarias para el ID de usuario de tarea iniciada del subsistema de DB2.

DB2 necesita acceso de modificación (ALTER) al valor de catálogo especificado en DB2_STOR_GROUP_VCAT debido a que crea conjuntos de datos con este calificador de alto nivel.

Avisos | Marcas registradas | Descargas | Biblioteca | Soporte | Su opinión
Copyright IBM Corporation 1999, 2005 Última actualización: 11/11/2005
ae14040_