z/OS-Sicherheit einrichten

Es müssen einige Sicherheitskonfigurationstasks durchgeführt werden, damit der WebSphere Message Broker korrekt funktioniert. Die Schritte, die Sie dabei befolgen müssen, werden in diesem Thema und den folgenden Themen beschrieben:

Bestimmen Sie die Namen der gestarteten Tasks des Brokers, Konfigurationsmanagers und Benutzernamensserver. Auf Basis dieser Namen werden Berechtigungen für gestartete Task eingerichtet und die Systemleistung verwaltet.

Legen Sie eine Dateinamenskonvention für Ihre WebSphere Message Broker-PDSEs fest. Typische Namen sind beispielsweise WMQI.MQP1BRK.CNTL oder MQS.MQP1UNS.BIPCNTL, wobei MQP1 für den Namen des Warteschlangenmanagers steht. Sie müssen den Administratoren von WebSphere Message Broker, WebSphere MQ, DB2 und z/OS Zugriff auf diese Dateien erteilen. Es gibt verschiedene Möglichkeiten, diesen professionellen Anwendern Steuerungszugriff zu erteilen, z. B.:
  • Erteilen Sie jedem einzelnen Benutzer Zugriff auf eine bestimmte Datei.
  • Definieren Sie ein generisches Dateiprofil, indem Sie eine Gruppe mit den Benutzer-IDs der Administratoren definieren. Erteilen Sie der Gruppe Steuerungszugriff auf das generische Dateiprofil.

Wenn Sie den Einsatz von Publish/Subscribe beabsichtigen, definieren Sie eine Gruppe mit dem Namen MQBRKRS, und verbinden Sie die Benutzer-IDs der gestarteten Task mit dieser Gruppe. Definieren Sie eine OMVS-Gruppensegment für diese Gruppe, so dass der Benutzernamensserver Informationen aus der ESM-Datenbank (External Security Manager) extrahieren kann, damit Sie die Publish/Subscribe-Sicherheit verwenden können.

Jeder Broker benötigt eine eindeutige ID für seine DB2-Tabellen. Dabei kann es sich um folgende IDs handeln:
  • Eine eindeutige Benutzer-ID der gestarteten Task. Sie können beispielsweise den Brokernamen als Benutzer-ID der gestarteten Task verwenden.

    Eine eindeutige Gruppe für den Broker (z. B. MQP1GRP), in der alle notwendigen DB2-Berechtigungen definiert sind. Die Benutzer-ID der gestarteten Task des Brokers und der WebSphere Message Broker-Administrator sind beide Mitglied dieser Gruppe.

  • Eine gemeinsam genutzte Benutzer-ID der gestarteten Task und eine eindeutige Gruppe zur Identifizierung der DB2-Tabellen, die mit der ODBC-Schnittstelle verwendet werden sollen. Verwenden Sie den Brokernamen als Gruppenname.
Definieren Sie ein OMVS-Segment für die Benutzer-ID der gestarteten Task, und geben Sie deren Ausgangsverzeichnis genügend Speicherbereich für WebSphere Message Broker-Speicherauszüge. Verwenden Sie gegebenenfalls den Prozedurnamen der gestarteten Task als Benutzer-ID der gestarteten Task. Überprüfen Sie mit folgendem TSO-Befehl, ob Ihr OMVS-Segment definiert ist:
LU Benutzer-ID OMVS
Die Befehlsausgabe enthält das OMVS-Segment, zum Beispiel:
USER=MQP1BRK NAME=SMITH, JANE OWNER=TSOUSER
CREATED=99.342 DEFAULT-GROUP=TSOUSER PASSDATE=01.198
PASS-INTERVAL=30
......
OMVS INFORMATION
----------------
UID=0000070594
HOME=/u/MQP1BRK
PROGRAM=/bin/sh
CPUTIMEMAX=NONE
ASSIZEMAX=NONE
FILEPROCMAX=NONE
PROCUSERMAX=NONE
THREADSMAX=NONE
MMAPAREAMAX=NONE
Der Befehl
df -P /u/MQP1BRK
zeigt die Größe des verfügbaren Speicherplatzes an, wobei /u/MQP1BRK dem Wert von HOME in der oben gezeigten Befehlsausgabe entspricht. Der Befehl zeigt Ihnen, wie viel Speicherplatz zurzeit im Dateisystem verfügbar ist. Überprüfen Sie zusammen mit den Datenadministratoren, ob dies ausreichend ist. Sie benötigen mindestens 400 000 freie Blöcke für den Fall, dass ein Speicherauszug erstellt wird.

Ordnen Sie der Prozedur der gestarteten Task die zu verwendende Benutzer-ID zu. Sie können beispielsweise die Klasse STARTED in RACF verwenden. Die Administratoren von WebSphere Message Broker und z/OS müssen dem Namen der gestarteten Task zustimmen.

WebSphere Message Broker-Administratoren benötigen ein OMVS-Segment und ein Ausgangsverzeichnis. Überprüfen Sie die oben beschriebene Konfiguration.

Die Benutzer-IDs für die gestartete Task und die WebSphere Message Broker-Administratoren müssen Zugriff auf die Verarbeitungsdateien für die Installation, die komponentenspezifischen Dateien und das Ausgangsverzeichnis der gestarteten Task haben. Während der Anpassung kann das Eigentumsrecht geändert werden, um den Gruppenzugriff zu ändern. Dazu ist möglicherweise Superuserberechtigung erforderlich.

Wenn root als Servicebenutzer-ID verwendet wird, haben alle vom Broker geladenen Bibliotheken, einschließlich aller benutzerdefinierten Plug-in-Bibliotheken und aller gemeinsam genutzten Bibliotheken, auf die sie zugreifen, ebenfalls Root-Zugriff auf alle Systemressourcen (beispielsweise Dateigruppen). Überprüfen und bewerten Sie das Risiko, das mit der Erteilung dieser Berechtigungsstufe verbunden ist.

Weitere Informationen zu den verschiedenen Sicherheitsaspekten finden Sie unter Sicherheit - Übersicht.

Zugehörige Konzepte
Sicherheit - Übersicht
Beginn der ÄnderungDem Konfigurationsmanager auf z/OS ermöglichen, Benutzer-ID-Informationen abzufragenEnde der Änderung
Zugehörige Tasks
DB2 einrichten
WebSphere MQ einrichten
Zugriffsberechtigungen für die Workbench unter z/OS einrichten
Publish/Subscribe-Benutzer-IDs einrichten
Zugehörige Verweise
Anpassungstasks und Aufgabenbereiche unter z/OS
Zusammenfassung der erforderlichen Zugriffsberechtigungen (Z/OS)
Bemerkungen | Marken | Downloads | Bibliothek | Unterstützung | Rückmeldung
Copyright IBM Corporation 1999, 2006 Letzte Aktualisierung: 23. Aug. 2006
ae14030_