Resumo de Acesso Requerido (z/OS)

As informações a seguir resumem o acesso que os profissionais requerem em sua organização.

Autorizações Requeridas para o ID do Usuário de Tarefa Iniciada do WebSphere Event Broker

É necessário ter acesso READ ao componente PDSE.

As autorizações de diretório requeridas são:
  • Acesso READ/EXECUTE em <INSTPATH>, em que <INSTPATH> corresponde ao diretório no qual o WebSphere Event Broker for z/OS está instalado pelo SMP/E.
  • Acesso READ/WRITE/EXECUTE ao diretório do componente ++COMPONENTDIRECTORY++.
  • Acesso de READ/WRITE para o diretório home.
  • Acesso READ/WRITE ao diretório identificado por ++HOME++.
  • No UNIX System Services, o ID do usuário da tarefa iniciada e o ID do usuário do administrador do WebSphere Event Broker devem ser membros dos grupos que possuem acesso aos diretórios de instalação e de componentes, porque ambos precisam de privilégios em relação a eles. O proprietário desses diretórios precisa fornecer as permissões apropriadas a esse grupo.
Autorizações do DB2 para o ID do usuário de tarefa iniciada e para o ID do proprietário da tabela:
  • Se houver um perfil para db2subsystem.RRSAF na classe DSNR o ID do usuário da tarefa iniciada precisará de acesso ao perfil. Por exemplo, o seguinte comando RACF mostra se o perfil existe:
    RLIST  DSNR (DB2P.RRSAF)
    e o seguinte comando fornece o acesso necessário:
    PERMIT  DB2P.RRSAF  CLASS(DSNR) ID(WQMITASK)  ACCESS(READ)
  • Privilégio SELECT nas tabelas SYSIBM.SYSTABLES, SYSIBM.SYSSYNONYMS e SYSIBM.SYSDATABASE.
  • Privilégios de SELECT, UPDATE, INSERT e DELETE em todas as tabelas do sistema do intermediário.
  • DB2_TABLE_OWNER deve ser um ID de autorização válido do ID do usuário da tarefa iniciada.
  • Autoridade EXECUTE no plano DSNACLI ou equivalente do ID do usuário da tarefa iniciada.

Autorizações do WebSphere MQ:

Ative a segurança do WebSphere MQ para proteger os recursos do WebSphere MQ. Se todas as opções de segurança do WebSphere MQ estiverem ativadas, defina os seguintes perfis e forneça ao ID do usuário da tarefa iniciada o acesso relacionado a cada perfil. Para cada acesso de perfil listado, <MQ_QMNAME> representa o gerenciador de filas do WebSphere MQ ao qual o componente do WebSphere Event Broker está conectado, enquanto TASKID representa o ID de usuário do WebSphere Event Broker referente a tarefas iniciadas.

  • Segurança de conexão: acesso READ ao perfil <MQ_QMNAME>.BATCH de classe MQCONN. Por exemplo, para o gerenciador de filas MQP1 e o ID de tarefa iniciada TASKID, utilize os comandos RACF:
    RDEFINE MQCONN MQP1.BATCH UACC(NONE)
    PERMIT MQP1.BATCH CLASS(MQCONN) ID(TASKID) ACCESS(READ)
  • Segurança de filas: acesso UPDATE ao perfil <MQ_QMNAME>. de classe MQQUEUE para todas filas. Considere a criação de perfis para as seguintes filas:
    • Todas as filas de componente que utilizam o perfil genérico SYSTEM.BROKER.**
    • Quaisquer filas de transmissões definidas entre gerenciadores de filas de componente.
    • Quaisquer filas definidas em fluxos de mensagem.
    • Filas Dead-letter.
    Por exemplo, para o gerenciador de filas MQP1 e o ID de tarefa iniciada TASKID, utilize o seguinte comando RACF para restringir o acesso a filas de componentes:
    RDEFINE MQQUEUE MQP1.SYSTEM.BROKER.** UACC(NONE)
    PERMIT MQP1.SYSTEM.BROKER.** CLASS(MQQUEUE) ID(TASKID) ACCESS(UPDATE)
  • Segurança de contexto: acesso CONTROL para alterar o perfil <MQ_QMNAME>.CONTEXT de MQADMIN. Por exemplo, para o gerenciador de filas MQP1 e o ID de tarefa iniciada TASKID, utilize os seguintes comandos RACF:
    RDEFINE MQADMIN MQP1.CONTEXT UACC(NONE)
    PERMIT MQP1.CONTEXT CLASS(MQADMIN) ID(TASKID) ACCESS(CONTROL)
  • Segurança alternativa para usuários; Alterne a segurança de usuários: Defina a autoridade de usuário alternativo como: UPDATE acesso ao perfil <MQ_QMNAME>.ALTERNATE.USER.id de classe MQADMIN, enquanto o id representa o ID de serviço do componente Windows Configuration Manager component. Por exemplo, para o gerenciador de filas MQP1, o ID de tarefa iniciada TASKID e o ID de serviço de configuração CFGID, utilize os seguintes comandos RACF:
    RDEFINE MQADMIN MQP1.ALTERNATE.USER.CFGID UACC(NONE)
    PERMIT MQP1.ALTERNATE.USER.CFGID  CLASS(MQADMIN) ID(TASKID) ACCESS(UPDATE)
    Acesso UPDATE ao perfil <MQ_QMNAME>.ALTERNATE.USER.id da classe MQADMIN, em que id representa, por exemplo, o ID de usuário de um pedido de Publicação/Inscrição.
  • Segurança de processo e namelist: Se você tiver opções de segurança do WebSphere MQ ativadas no sistema para segurança de processo e namelist, não é necessário definir nenhum perfil de acesso em uma configuração padrão do WebSphere Event Broker.
Para usuários conectando remotamente do Message Brokers Toolkit ou de um aplicativo Configuration Manager Proxy com o Configuration Manager no z/OS, as seguintes autorizações são requeridas:
  • Segurança de conexão: acesso READ ao perfil <MQ_QMNAME>.CHIN de classe MQCONN. Por exemplo, para o gerenciador de filas MQP1 e o ID de tarefa iniciada TASKID, utilize os seguintes comandos RACF:
    RDEFINE MQCONN MQP1.CHIN UACC(NONE)
    PERMIT MQP1.CHIN CLASS(MQCONN) ID(TASKID) ACCESS(READ)
  • Segurança alternativa do usuário: Defina a autoridade alternativa do usuário, como: acesso UPDATE ao perfil <MQ_QMNAME>.ALTERNATE.USER.id de classe MQADMIN, em que id representa o ID de usuário no aplicativo Message Brokers Toolkit ou Configuration Manager Proxy. Por exemplo, para o gerenciador de filas MQP1, o ID da tarefa iniciada TASKID e o ID do usuário USERID, utilize os seguintes comandos RACF:
    RDEFINE MQADMIN MQP1.ALTERNATE.USER.USERID UACC(NONE)
    PERMIT MQP1.ALTERNATE.USER.USERID  CLASS(MQADMIN) ID(TASKID) ACCESS(UPDATE)

Autorizações Requeridas para o Administrador do WebSphere Event Broker

O administrador do intermediário requer as seguintes autorizações:

  • Acesso ALTER ao componente PDSE.
  • Acesso READ, WRITE e EXECUTE para o diretório do componente ++COMPONENTDIRECTORY++.
  • Acesso READ/EXECUTE em <INSTPATH>, em que <INSTPATH> corresponde ao diretório no qual o WebSphere Event Broker for z/OS está instalado pelo SMP/E.
  • Acesso READ/WRITE ao diretório identificado por ++HOME++.
  • No UNIX System Services, o ID do usuário da tarefa iniciada e o ID do usuário do administrador do WebSphere Event Broker devem ser membros dos grupos que possuem acesso aos diretórios de instalação e de componentes, porque ambos precisam de privilégios em relação a eles. O proprietário desses diretórios precisa fornecer as permissões apropriadas a esse grupo.
  • Para executar a transmissão do DB2 ao criar e excluir componentes DBADM, a autoridade para o banco de dados intermediário é requerida.

Autorizações Requeridas para o Administrador do DB2

O administrador do DB2 precisa ter as seguintes autorizações para executar as tarefas de configuração do DB2 BIPCRDB e BIPDLDB:
  • Acesso ALTER ao componente PDSE.
  • Autorizações do DB2: Autoridade SYSCTRL ou SYSADM.
  • CREATE STOGROUP, CREATE DATABASE e CREATE TABLESPACEs.
  • DROP DATABASE e DROP STOGROUP.
Se o administrador do DB2 executar a transmissão via DB2 ao criar e ao excluir um componente, o ID de usuário do administrador também precisará das autorizações a seguir. Como alternativa, você pode conceder autorização ao administrador do WebSphere Event Broker para executar a transmissão via DB2.
  • Acesso READ, WRITE e EXECUTE para o diretório do componente ++COMPONENTDIRECTORY++.
  • Acesso READ/EXECUTE em <INSTPATH>, em que <INSTPATH> corresponde ao diretório no qual o WebSphere Event Broker for z/OS está instalado pelo SMP/E.
  • Acesso READ/WRITE ao diretório identificado por ++HOME++.
  • No UNIX System Services, o ID do usuário da tarefa iniciada e o ID do usuário do administrador do WebSphere Event Broker devem ser membros dos grupos que possuem acesso aos diretórios de instalação e de componentes, porque ambos precisam de privilégios em relação a eles. O proprietário desses diretórios precisa fornecer as permissões apropriadas a esse grupo.

Autorizações Requeridas para o Administrador do WebSphere MQ

Se o administrador do WebSphere MQ executar a transmissão via WebSphere MQ ao criar um componente, o ID de usuário do administrador precisará das seguintes autorizações. Como alternativa para o WebSphere MQ, você pode conceder autorização ao administrador do WebSphere Event Broker para executar a transmissão via WebSphere MQ.
  • Acesso ALTER ao componente PDSE.
  • Autorizações de diretório:
    • Acesso READ/EXECUTE em <INSTPATH>, em que <INSTPATH> corresponde ao diretório no qual o WebSphere Event Broker for z/OS está instalado pelo SMP/E.
    • Acesso READ, WRITE e EXECUTE para o diretório do componente ++COMPONENTDIRECTORY++.
    • Acesso READ/WRITE ao diretório identificado por ++HOME++.
Ative a segurança do WebSphere MQ para proteger os recursos do WebSphere MQ. Se todas as chaves de segurança do WebSphere MQ estiverem ativadas, defina os seguintes perfis e conceda ao administrador do WebSphere MQ o acesso listado a cada perfil para executar as tarefas de configuração do WebSphere MQ. Para cada acesso de perfil listado, MQ_QMNAME representa o gerenciador de filas do WebSphere MQ com o qual o componente do WebSphere Event Broker está conectado e MQADMIN representa o ID do administrador do WebSphere MQ:
  • Segurança de conexão: acesso READ ao perfil <MQ_QMNAME>.BATCH de classe MQCONN. Por exemplo, para o gerenciador de filas MQP1 e o ID do administrador MQADMIN do WebSphere MQ utilize os seguintes comandos RACF:
    RDEFINE MQCONN MQP1.BATCH UACC(NONE)
    PERMIT MQP1.BATCH CLASS(MQCONN) ID(MQADMIN) ACCESS(READ)
  • Segurança de filas: acesso UPDATE ao perfil <MQ_QMNAME>.queue de classe MQQUEUE para filas de componentes criadas ou excluídas. É possível criar um perfil genérico SYSTEM.BROKER.** Por exemplo, para o gerenciador de filas MQP1 e o ID do administrador MQADMIN do WebSphere MQ, utilize o seguinte comando RACF para restringir o acesso a filas de componentes:
    RDEFINE MQQUEUE MQP1.SYSTEM.BROKER.** UACC(NONE)
    PERMIT MQP1.SYSTEM.BROKER.** CLASS(MQQUEUE) ID(MQADMIN) ACCESS(UPDATE) 
  • Servidor de comandos do sistema: acesso UPDATE ao perfil <MQ_QMNAME>.queue de classe MQQUEUE para SYSTEM.COMMAND.**. Por exemplo, para o gerenciador de filas MQP1 e WebSphere MQ, ID de administrador MQADMIN, utilize os seguintes comandos RACF para restringir o acesso ao servidor de comandos do sistema:
    RDEFINE MQQUEUE MQP1.SYSTEM.COMMAND.** UACC(NONE)
    PERMIT MQP1.SYSTEM.COMMAND.** CLASS(MQQUEUE) ID(MQADMIN) ACCESS(UPDATE)
    Acesso UPDATE ao perfil <MQ_QMNAME>.queue de classe MQQUEUE para algumas filas do sistema utilizadas durante uma tarefa de criação/exclusão. É possível criar um perfil genérico <MQ_QMNAME>.**
  • Segurança do comando:
    • Para executar a transmissão do WebSphere MQ ao criar um componente, você precisa:
      • Acesso ALTER a <MQ_QMNAME>.DEFINE.QLOCAL de classe MQCMDS.
      • Acesso ALTER a <MQ_QMNAME>.DEFINE.QMODEL de classe MQCMDS.
      • Acesso ALTER a <MQ_QMNAME>.DEFINE.CHANNEL de classe MQCMDS.
    • Para executar a transmissão do WebSphere MQ ao excluir um componente, você precisa:
      • Acesso ALTER a <MQ_QMNAME>.DELETE.QLOCAL de classe MQCMDS.
      • Acesso ALTER a <MQ_QMNAME>.DELETE.QMODEL de classe MQCMDS.
      • Acesso ALTER a <MQ_QMNAME>.DELETE.CHANNEL de classe MQCMDS.
    Para o gerenciador de filas MQP1 e o ID do administrador do WebSphere MQ MQADMIN, utilize os comandos RACF a seguir:
    RDEFINE MQADMIN MQP1.DELETE.QLOCAL UACC(NONE)
    PERMIT MQP1.DELETE.QLOCAL CLASS(MQADMIN) ID(MQADMIN) ACCESS(ALTER)
  • Segurança de comando do recurso: Acesso de ALTER para MQP1.QUEUE.queue de classe MQADMIN para cada fila criada ou excluída. É possível criar um perfil genérico SYSTEM.BROKER.**. Por exemplo, para o gerenciador de filas MQP1 e o ID do administrador MQADMIN do WebSphere MQ, utilize os seguintes comandos RACF:
    RDEFINE MQADMIN MQP1.QUEUE.SYSTEM.BROKER.** UACC(NONE)
    PERMIT MQP1.SYSTEM.BROKER.** CLASS(MQADMIN) ID(MQADMIN) ACCESS(ALTER)
  • Segurança de processo e namelist: Se você tiver opções de segurança do WebSphere MQ ativadas no sistema para segurança de processo e namelist, não é necessário definir nenhum perfil de acesso em uma configuração padrão do WebSphere Event Broker.

Para obter uma descrição de como implementar a segurança do WebSphere MQ utilizando o RACF, consulte Configurando o WebSphere MQ.

Autorizações Requeridas para o ID do Usuário de Tarefa Iniciada do Subsistema DB2

O DB2 precisa do acesso ALTER ao valor do catálogo especificado em DB2_STOR_GROUP_VCAT porque ele cria conjuntos de dados com esse qualificador de alto nível.

Tarefas relacionadas
Configurando a Segurança no z/OS
Notices | Trademarks | Downloads | Library | Support | Feedback
Copyright IBM Corporation 1999, 2006 Last updated: 5월 25, 2006
ae14040_