Übersicht über die erforderlichen Zugriffsrechte (z/OS)

Im Folgenden eine Übersicht über die Zugriffsrechte, über die professionelle Anwender in Ihrer Organisation verfügen müssen.

Erforderliche Berechtigungen für die Benutzer-ID der gestarteten Task für WebSphere Message Broker

Kein Zugriff auf die Komponenten-PDSE erforderlich.

Folgende Verzeichnisberechtigungen sind erforderlich:
  • Lese- und Schreibzugriff (READ/EXECUTE) auf die ausführbaren Dateien im Verzeichnis <INSTPATH>/bin; dabei ist <INSTPATH> das Verzeichnis, in dem unter Verwendung von SMP/E WebSphere Message Broker for z/OS installiert wurde.
  • Lese-, Schreib- und Ausführungszugriff (READ/WRITE/EXECUTE) auf das Komponentenverzeichnis.
  • Lese- und Schreibzugriff (READ/WRITE) auf das Ausgangsverzeichnis.
  • Unter UNIX System Services müssen die Benutzer-ID für die gestartete Task und die Administrator-ID für WebSphere Message Broker zu den Gruppen gehören, die Zugriff auf die Installations- und Komponentenverzeichnisse haben, da beide Berechtigungen für diese Verzeichnisse benötigen. Der Besitzer dieser Verzeichnisse muss der Gruppe die entsprechenden Berechtigungen erteilen.
DB2-Berechtigungen für die Benutzer-ID der gestarteten Task und die ID des Tabelleneigners sind erforderlich:
  • Enthält die Klasse DSNR ein Profil für db2subsystem.RRSAF, muss die Benutzer-ID der gestarteten Task Zugriff auf das Profil haben. Mit dem folgenden RACF-Befehl kann beispielsweise festgestellt werden, ob das Profil vorhanden ist:
    RLIST  DSNR (DB2P.RRSAF) 
    Mit dem folgenden Befehl kann der erforderliche Zugriff erteilt werden:
    PERMIT  DB2P.RRSAF  CLASS(DSNR) ID(WQMITASK) ACCESS(READ)
  • Die Berechtigung SELECT für die Tabellen SYSIBM.SYSTABLES, SYSIBM.SYSSYNONYMS und SYSIBM.SYSDATABASE.
  • Die Berechtigungen SELECT, UPDATE, INSERT und DELETE für alle Systemtabellen des Brokers.
  • Bei DB2_TABLE_OWNER muss es sich um eine gültige Berechtigungs-ID für die Benutzer-ID der gestarteten Task handeln.
  • Die Berechtigung EXECUTE für den Plan DSNACLI oder eine äquivalente Berechtigung für die Benutzer-ID der gestarteten Task.

WebSphere MQ-Berechtigungen

Aktivieren Sie zum Schutz Ihrer WebSphere MQ-Ressourcen die WebSphere MQ-Sicherheit. Nachdem alle WebSphere MQ-Sicherheitsschalter aktiviert wurden, müssen Sie die folgenden Profile definieren und der Benutzer-ID der gestarteten Tasks für jedes Profil die hier aufgeführten Zugriffsrechte erteilen. Für jedes der hier aufgeführten Profile steht <MQ_QMNAME> für den WebSphere MQ-Warteschlangenmanager, mit dem die WebSphere Message Broker-Komponente verbunden ist, und TASKID für die Benutzer-ID der gestarteten WebSphere Message Broker-Task.

  • Verbindungssicherheit: Lesezugriff (READ) auf das Profil <MQ_QMNAME>.BATCH der Klasse MQCONN. Für den Warteschlangenmanager MQP1 und die ID TASKID der gestarteten Task beispielsweise werden die folgenden RACF-Befehle eingegeben:
    RDEFINE MQCONN MQP1.BATCH UACC(NONE)
    PERMIT MQP1.BATCH CLASS(MQCONN) ID(TASKID) ACCESS(READ)
  • Warteschlangensicherheit: Aktualisierungszugriff (UPDATE) auf das Profil <MQ_QMNAME>.queue der Klasse MQQUEUE für alle Warteschlangen. Profile sollten für die folgenden Warteschlangen erstellt werden:
    • Alle Komponentenwarteschlangen, die das generische Profil SYSTEM.BROKER.** verwenden.
    • Alle Übertragungswarteschlangen, die zwischen den Warteschlangenmanagern der Komponenten definiert wurden.
    • Alle in Nachrichtenflüssen definierten Warteschlangen.
    • Warteschlangen für nicht zustellbare Nachrichten.
    Für den Warteschlangenmanager MQP1 und die ID TASKID der gestarteten Task beispielsweise wird der Zugriff auf die Komponentenwarteschlangen mittels der folgenden RACF-Befehle eingeschränkt:
    RDEFINE MQQUEUE MQP1.SYSTEM.BROKER.** UACC(NONE)
    PERMIT MQP1.SYSTEM.BROKER.** CLASS(MQQUEUE) ID(TASKID) ACCESS(UPDATE)
  • Kontextsicherheit: Steuerzugriff (CONTROL) auf das Profil <MQ_QMNAME>.CONTEXT der Klasse MQADMIN. Für den Warteschlangenmanager MQP1 und die ID TASKID der gestarteten Task beispielsweise werden die folgenden RACF-Befehle eingegeben:
    RDEFINE MQADMIN MQP1.CONTEXT UACC(NONE)
    PERMIT MQP1.CONTEXT CLASS(MQADMIN) ID(TASKID) ACCESS(CONTROL)
  • Alternative Benutzersicherheit: Definieren Sie die alternative Benutzersicherheit wie folgt: Aktualisierungszugriff ( UPDATE) auf das Profil <MQ_QMNAME>.ALTERNATE.USER.id der Klasse MQADMIN; dabei ist id die Service-ID der Konfigurationsmanagerkomponente unter Windows. Für den Warteschlangenmanager MQP1, die ID TASKID der gestarteten Task und die Konfigurationsservice-ID CFGID beispielsweise werden die folgenden RACF-Befehle eingegeben:
    RDEFINE MQADMIN MQP1.ALTERNATE.USER.CFGID UACC(NONE)
    PERMIT MQP1.ALTERNATE.USER.CFGID  CLASS(MQADMIN) ID(TASKID) ACCESS(UPDATE) 
    Aktualisierungszugriff (UPDATE) auf das Profil <MQ_QMNAME>.ALTERNATE.USER.id der Klasse MQADMIN; dabei ist id beispielsweise die Benutzer-ID einer Publish/Subscribe-Anforderung.
  • Prozess- und Namenslistensicherheit: Wenn Sie in Ihrem System die WebSphere MQ-Sicherheitsschalter für die Prozess- und Namenslistensicherheit aktiviert haben, müssen keine Zugriffsprofile in einer WebSphere Message Broker-Standardkonfiguration definiert werden.

Erforderliche Berechtigungen für WebSphere Message Broker-Administratoren

  • Änderungszugriff (ALTER) auf die Komponenten-PDSE.
  • Lese-, Schreib- und Ausführungszugriff (READ, WRITE, EXECUTE) auf das Komponentenverzeichnis.
  • Lese- und Schreibzugriff (READ/EXECUTE) auf <INSTPATH>; dabei ist <INSTPATH> das Verzeichnis, in dem unter Verwendung von SMP/E WebSphere Message Broker for z/OS installiert ist.
  • Ausführungszugriff (EXECUTE) auf die Shellprozeduren im Verzeichnis <INSTPATH>/bin.
  • Unter UNIX System Services müssen die Benutzer-ID für die gestartete Task und die Administrator-ID für WebSphere Message Broker zu den Gruppen gehören, die Zugriff auf die Installations- und Komponentenverzeichnisse haben, da beide Berechtigungen für diese Verzeichnisse benötigen. Der Besitzer dieser Verzeichnisse muss der Gruppe die entsprechenden Berechtigungen erteilen.

Erforderliche Berechtigungen für DB2-Administratoren

Wenn Sie Sicherheitsfunktionen verwenden, benötigt der DB2-Koordinator die folgenden Berechtigungen für die Ausführung der DB2-Konfigurationsjobs BIPxDBxx:
  • PDSE-Berechtigungen: Änderungszugriff (ALTER) auf die Komponenten-PDSE.
  • Verzeichnisberechtigungen: Ausführungszugriff (EXECUTE) auf das Komponentenverzeichnis.
  • DB2-Berechtigungen SYSCTRL oder SYSADM.

Erforderliche Berechtigungen für WebSphere MQ-Administratoren

Für die Ausführung der WebSphere MQ-Konfigurationsjobs (BIPxMQxx) sind die folgenden Berechtigungen erforderlich:
  • PDSE-Berechtigungen: Lesezugriff (READ) auf die Komponenten-PDSE.
  • Verzeichnisberechtigungen.
    • Lese- und Schreibzugriff (READ/EXECUTE) auf die ausführbaren Dateien im Verzeichnis <INSTPATH>/bin; dabei ist <INSTPATH> das Verzeichnis, in dem unter Verwendung von SMP/E WebSphere Message Broker for z/OS installiert wurde.
    • Ausführungszugriff (EXECUTE) auf das Komponentenverzeichnis.
Aktivieren Sie zum Schutz Ihrer WebSphere MQ-Ressourcen die WebSphere MQ-Sicherheit. Nachdem alle WebSphere MQ-Sicherheitsschalter aktiviert wurden, müssen Sie die folgenden Profile definieren und den WebSphere MQ-Administratoren für jedes Profil die hier aufgeführten Zugriffsrechte erteilen, damit die WebSphere MQ-Konfigurationsjobs ausgeführt werden können. Für jedes der hier aufgeführten Profile steht MQ_QMNAME für den WebSphere MQ-Warteschlangenmanager, mit dem die WebSphere Message Broker-Komponente verbunden ist, und MQADMIN für die Administrator-ID für WebSphere MQ.
  • Verbindungssicherheit: Lesezugriff (READ) auf das Profil <MQ_QMNAME>.BATCH der Klasse MQCONN. Für den Warteschlangenmanager MQP1 und die WebSphere MQ-Administrator-ID MQADMIN beispielsweise werden die folgenden RACF-Befehle eingegeben:
    RDEFINE MQCONN MQP1.BATCH UACC(NONE)
    PERMIT MQP1.BATCH CLASS(MQCONN) ID(MQADMIN) ACCESS(READ)
  • Warteschlangensicherheit: Aktualisierungszugriff (UPDATE) auf das Profil <MQ_QMNAME>.queue der Klasse MQQUEUE für erstellte oder gelöschte Warteschlangen. Sie können ein generisches Profil (SYSTEM.BROKER.**) erstellen. Für den Warteschlangenmanager MQP1 und die WebSphere MQ-Administrator-ID MQADMIN beispielsweise wird der Zugriff auf die Komponentenwarteschlangen mittels der folgenden RACF-Befehle eingeschränkt:
    RDEFINE MQQUEUE MQP1.SYSTEM.BROKER.** UACC(NONE)
    PERMIT MQP1.SYSTEM.BROKER.** CLASS(MQQUEUE) ID(MQADMIN) ACCESS(UPDATE) 
    Aktualisierungszugriff (UPDATE) auf das Profil <MQ_QMNAME>.queue der Klasse MQQUEUE für einige Systemwarteschlangen während des Erstellungs-/Löschjobs. Sie können ein generisches Profil (<MQ_QMNAME>) erstellen.**
  • Befehlssicherheit:
    • Um den Job BIP$MQ01 ausführen zu können, benötigen Sie:
      • Änderungszugriff (ALTER) auf <MQ_QMNAME>.DEFINE.QLOCAL der Klasse MQCMDS.
      • Änderungszugriff (ALTER) auf <MQ_QMNAME>.DEFINE.QMODEL der Klasse MQCMDS.
    • Um den Job BIP#MQ01 ausführen zu können, benötigen Sie:
      • Änderungszugriff (ALTER) auf <MQ_QMNAME>.DELETE.QLOCAL der Klasse MQCMDS.
      • Änderungszugriff (ALTER) auf <MQ_QMNAME>.DELETE.QMODEL der Klasse MQCMDS.
    Für den Warteschlangenmanager MQP1 und die WebSphere MQ-Administrator-ID MQADMIN beispielsweise werden die folgenden RACF-Befehle eingegeben:
    RDEFINE MQADMIN MQP1.DELETE.QLOCAL UACC(NONE)
    PERMIT MQP1.DELETE.QLOCAL CLASS(MQADMIN) ID(MQADMIN) ACCESS(ALTER)
  • Ressourcenbefehlssicherheit: Änderungszugriff (ALTER) auf MQP1.QUEUE.queue der Klasse MQADMIN für jede Warteschlange, die erstellt oder gelöscht wurde. Sie können ein generisches Profil (SYSTEM.BROKER.**) erstellen. Für den Warteschlangenmanager MQP1 und die WebSphere MQ-Administrator-ID MQADMIN beispielsweise werden die folgenden RACF-Befehle eingegeben:
    RDEFINE MQADMIN MQP1.QUEUE.SYSTEM.BROKER.** UACC(NONE)
    PERMIT MQP1.QUEUE.SYSTEM.BROKER.** CLASS(MQADMIN) ID(MQADMIN) ACCESS(ALTER)
  • Prozess- und Namenslistensicherheit: Wenn Sie in Ihrem System die WebSphere MQ-Sicherheitsschalter für die Prozess- und Namenslistensicherheit aktiviert haben, müssen keine Zugriffsprofile in einer WebSphere Message Broker-Standardkonfiguration definiert werden.

Informationen über das Implementieren der WebSphere MQ-Sicherheit unter Verwendung von RACF finden Sie unter Sicherheitsanforderungen für z/OS.

Erforderliche Berechtigungen für die Benutzer-ID der gestarteten Task für das DB2-Subsystem

DB2 benötigt Änderungszugriff (ALTER) auf die in DB2_STOR_GROUP_VCAT angegebenen Katalogwerte, da es Dateien mit diesem übergeordneten Qualifikationsmerkmal erstellt.

Bemerkungen | Marken | Downloads | Bibliothek | Unterstützung | Rückmeldung
Copyright IBM Corporation 1999, 2005 Letzte Aktualisierung: Nov 17, 2005
ae14040_