z/OS-Sicherheit konfigurieren

Es müssen einige Sicherheitskonfigurationstasks durchgeführt werden, damit der WebSphere Event Broker korrekt funktioniert. Die Schritte, die Sie dabei befolgen müssen, werden in diesem Thema und den folgenden Themen beschrieben:

Bestimmen Sie die Namen der gestarteten Tasks des Brokers, Konfigurationsmanagers und Benutzernamensserver. Unter diesen Namen werden die Berechtigungen für die gestarteten Tasks konfiguriert und die Systemleistung verwaltet.

Legen Sie eine Dateinamenskonvention für die WebSphere Event Broker-PDSEs fest. Typische Namensformate sind beispielsweise WMQI.MQP1BRK.CNTL oder MQS.MQP1UNS.BIPCNTL; MQP1 ist der Name des Warteschlangenmanagers. Die WebSphere Event Broker-, WebSphere MQ-, DB2- und z/OS-Administratoren müssen Zugriff auf diese Dateien erhalten. Es gibt verschiedene Möglichkeiten, diesen professionellen Anwendern Steuerzugriff zu erteilen:
  • Sie können den Benutzern einzeln Zugriff auf bestimmte Dateien erteilen.
  • Sie können ein generisches Dateiprofil definieren und eine Gruppe, die die Benutzer-IDs der Administratoren enthält. Dieser Gruppe wird dann Steuerzugriff auf das generische Dateiprofil erteilt.

Wenn Publish/Subscribe verwendet werden soll, müssen Sie die Gruppe MQBRKRS definieren und die Benutzer-IDs der gestarteten Tasks mit dieser Gruppe verbinden. Definieren Sie ein OMVS-Gruppensegment für diese Gruppe, so dass der Benutzernamensserver Informationen aus der ESM-Datenbank (External Security Manager; externer Sicherheitsmanager) extrahieren kann, damit Sie die Publish/Subscribe-Sicherheit verwenden können.

Jeder Broker benötigt eine eindeutige ID für seine DB2-Tabellen. Möglich sind:
  • Eine eindeutige Benutzer-ID für die gestartete Task; hierfür kann der Brokername verwendet werden.

    Eine eindeutige Gruppe für den Broker (z. B. MQP1GRP), in der alle notwendigen DB2-Berechtigungen definiert sind. Die Benutzer-ID der gestarteten Task des Brokers und der WebSphere Event Broker-Administrator sind beide Mitglied dieser Gruppe.

  • Eine gemeinsame Benutzer-ID für die gestarteten Tasks sowie eine eindeutige Gruppe, über die die DB2-Tabellen gekennzeichnet werden, die mit der ODBC-Schnittstelle verwendet werden sollen. Als Gruppenname kann der Brokername angegeben werden.
Definieren Sie ein OMVS-Segment für die Benutzer-ID der gestarteten Task, und reservieren Sie im Ausgangsverzeichnis ausreichend Speicherplatz für WebSphere Event Broker-Speicherauszüge. Als Benutzer-ID für die gestartete Task kann der Name der gestarteten Taskprozedur genommen werden. Anhand des folgenden Befehls können Sie überprüfen, ob das OMVS-Segment definiert wurde:
LU userid OMVS
Die Befehlsausgabe enthält auch das OMVS-Segment; Beispiel:
USER=MQP1BRK NAME=SMITH, JANE OWNER=TSOUSER
CREATED=99.342 DEFAULT-GROUP=TSOUSER PASSDATE=01.198
PASS-INTERVAL=30
......
OMVS INFORMATION
----------------
UID=0000070594
HOME=/u/MQP1BRK
PROGRAM=/bin/sh
CPUTIMEMAX=NONE
ASSIZEMAX=NONE
FILEPROCMAX=NONE
PROCUSERMAX=NONE
THREADSMAX=NONE
MMAPAREAMAX=NONE
Mit dem Befehl:
df -P /u/MQP1BRK
können der belegte und der verfügbare Speicherplatz angezeigt werden; /u/MQP1BRK ist der oben für HOME angegebene Wert. Dieser Befehl gibt den aktuell im Dateisystem verfügbaren freien Speicherplatz zurück. Erkundigen Sie sich bei den Datenadministratoren, ob der Speicherplatz ausreicht. Sie benötigen mindestens 400.000 freie Blöcke; dieser Platz wird für eventuelle Speicherauszüge benötigt.

Ordnen Sie die gestartete Taskprozedur der Benutzer-ID zu, die verwendet werden soll. Sie können beispielsweise die Klasse STARTED in RACF verwenden. Die WebSphere Event Broker- und z/OS-Administratoren müssen gemeinsam einen Namen für die gestartete Task festlegen.

WebSphere Event Broker-Administratoren benötigen ein OMVS-Segment und ein Ausgangsverzeichnis. Überprüfen Sie die oben beschriebene Konfiguration.

Die Benutzer-IDs für die gestartete Task und die WebSphere Event Broker-Administratoren müssen Zugriff auf die Verarbeitungsdateien für die Installation, die komponentenspezifischen Dateien und das Ausgangsverzeichnis der gestarteten Task haben. Bei der Anpassung können die Dateieigentumsrechte in einen Gruppenzugriff geändert werden. Hierfür sind unter Umständen Superuser-Rechte erforderlich.

Wenn root als Servicebenutzer-ID verwendet wird, haben alle vom Broker geladenen Bibliotheken, einschließlich aller benutzerdefinierten Plug-in-Bibliotheken und aller gemeinsam genutzten Bibliotheken, auf die sie zugreifen, ebenfalls Root-Zugriff auf alle Systemressourcen (beispielsweise Dateigruppen). Sie sollten das Risiko, das eine so weitreichende Berechtigung birgt, genau abwägen.

Weitere Informationen zu den verschiedenen Sicherheitsaspekten finden Sie unter Sicherheit - Übersicht.

Zugehörige Konzepte
Sicherheit - Übersicht
Zugehörige Tasks
DB2 konfigurieren
WebSphere MQ einrichten
Zugriff auf die Workbench unter z/OS einrichten
Publish/Subscribe-Benutzer-IDs erstellen
Zugehörige Verweise
Anpassungstasks und Aufgabenbereiche (z/OS)
Übersicht über die erforderlichen Zugriffsrechte (z/OS)
Bemerkungen | Marken | Downloads | Bibliothek | Unterstützung | Rückmeldung
Copyright IBM Corporation 1999, 2006 Letzte Aktualisierung: 18.05.2006
ae14030_