Resumo de Acesso Requerido (z/OS)

As informações a seguir resumem o acesso que os profissionais requerem em sua organização.

Autorizações Requeridas para o ID do Usuário de Tarefa Iniciada do WebSphere Message Broker

As autorizações de diretórios requeridas para todos os componentes são:
  • Acesso READ/EXECUTE em <INSTPATH>, em que <INSTPATH> corresponde ao diretório no qual o WebSphere Message Broker for z/OS está instalado pelo SMP/E.
  • Acesso READ/WRITE/EXECUTE ao diretório do componente ++COMPONENTDIRECTORY++.
  • Acesso de READ/WRITE para o diretório home.
  • Acesso READ/WRITE ao diretório identificado por ++HOME++.
  • No UNIX System Services, o ID do usuário da tarefa iniciada e o ID do usuário do administrador do WebSphere Message Broker devem ser membros dos grupos que possuem acesso aos diretórios de instalação e de componentes, porque ambos precisam de privilégios em relação a eles. O proprietário desses diretórios precisa fornecer as permissões apropriadas a esse grupo.

Início da mudançaAs autorizações PDSE e DB2 a seguir são requeridas apenas para um componente intermediário, ou seja, não um Configuration Manager ou Servidor de Nome de UsuárioFim da mudança

Início da mudançaÉ necessário ter acesso READ ao componente PDSE.Fim da mudança

Autorizações do DB2 para o ID do usuário de tarefa iniciada e para o ID do proprietário da tabela:
  • Se houver um perfil para db2subsystem.RRSAF na classe DSNR o ID do usuário da tarefa iniciada precisará de acesso ao perfil. Por exemplo, o seguinte comando RACF mostra se o perfil existe:
    RLIST  DSNR (DB2P.RRSAF)
    e o seguinte comando fornece o acesso necessário:
    PERMIT  DB2P.RRSAF  CLASS(DSNR) ID(WQMITASK)  ACCESS(READ)
  • Privilégio SELECT nas tabelas SYSIBM.SYSTABLES, SYSIBM.SYSSYNONYMS e SYSIBM.SYSDATABASE.
  • Privilégios de SELECT, UPDATE, INSERT e DELETE em todas as tabelas do sistema do intermediário.
  • DB2_TABLE_OWNER deve ser um ID de autorização válido do ID do usuário da tarefa iniciada.
  • Autoridade EXECUTE no plano DSNACLI ou equivalente do ID do usuário da tarefa iniciada.

Autorizações do WebSphere MQ:

Ative a segurança do WebSphere MQ para proteger os recursos do WebSphere MQ. Se todas as opções de segurança do WebSphere MQ estiverem ativadas, defina os seguintes perfis e forneça ao ID do usuário da tarefa iniciada o acesso relacionado a cada perfil. Para cada acesso de perfil listado, <MQ_QMNAME> representa o gerenciador de filas do WebSphere MQ ao qual o componente do WebSphere Message Broker está conectado, enquanto TASKID representa o ID de usuário do WebSphere Message Broker referente a tarefas iniciadas.

  • Segurança de conexão: acesso READ ao perfil <MQ_QMNAME>.BATCH de classe MQCONN. Por exemplo, para o gerenciador de filas MQP1 e o ID de tarefa iniciada TASKID, utilize os comandos RACF:
    RDEFINE MQCONN MQP1.BATCH UACC(NONE)
    PERMIT MQP1.BATCH CLASS(MQCONN) ID(TASKID) ACCESS(READ)
  • Segurança de filas: acesso UPDATE ao perfil <MQ_QMNAME>. de classe MQQUEUE para todas filas. Considere a criação de perfis para as seguintes filas:
    • Todas as filas de componente que utilizam o perfil genérico SYSTEM.BROKER.**
    • Quaisquer filas de transmissões definidas entre gerenciadores de filas de componente.
    • Quaisquer filas definidas em fluxos de mensagem.
    • Filas Dead-letter.
    Por exemplo, para o gerenciador de filas MQP1 e o ID de tarefa iniciada TASKID, utilize o seguinte comando RACF para restringir o acesso a filas de componentes:
    RDEFINE MQQUEUE MQP1.SYSTEM.BROKER.** UACC(NONE)
    PERMIT MQP1.SYSTEM.BROKER.** CLASS(MQQUEUE) ID(TASKID) ACCESS(UPDATE)
  • Segurança de contexto: acesso CONTROL para alterar o perfil <MQ_QMNAME>.CONTEXT de MQADMIN. Por exemplo, para o gerenciador de filas MQP1 e o ID de tarefa iniciada TASKID, utilize os seguintes comandos RACF:
    RDEFINE MQADMIN MQP1.CONTEXT UACC(NONE)
    PERMIT MQP1.CONTEXT CLASS(MQADMIN) ID(TASKID) ACCESS(CONTROL)
  • Segurança alternativa para usuários; Alterne a segurança de usuários: Defina a autoridade de usuário alternativo como: UPDATE acesso ao perfil <MQ_QMNAME>.ALTERNATE.USER.id de classe MQADMIN, enquanto o id representa o ID de serviço do componente Windows Configuration Manager component. Por exemplo, para o gerenciador de filas MQP1, o ID de tarefa iniciada TASKID e o ID de serviço de configuração CFGID, utilize os seguintes comandos RACF:
    RDEFINE MQADMIN MQP1.ALTERNATE.USER.CFGID UACC(NONE)
    PERMIT MQP1.ALTERNATE.USER.CFGID  CLASS(MQADMIN) ID(TASKID) ACCESS(UPDATE)
    Acesso UPDATE ao perfil <MQ_QMNAME>.ALTERNATE.USER.id da classe MQADMIN, em que id representa, por exemplo, o ID de usuário de um pedido de Publicação/Inscrição.
  • Segurança de processo e namelist: Se você tiver opções de segurança do WebSphere MQ ativadas no sistema para segurança de processo e namelist, não é necessário definir nenhum perfil de acesso em uma configuração padrão do WebSphere Message Broker.
Para usuários conectando remotamente do Message Brokers Toolkit ou de um aplicativo Configuration Manager Proxy com o Configuration Manager no z/OS, as seguintes autorizações são requeridas:
  • Segurança de conexão: acesso READ ao perfil <MQ_QMNAME>.CHIN de classe MQCONN. Por exemplo, para o gerenciador de filas MQP1 e o ID de tarefa iniciada TASKID, utilize os seguintes comandos RACF:
    RDEFINE MQCONN MQP1.CHIN UACC(NONE)
    PERMIT MQP1.CHIN CLASS(MQCONN) ID(TASKID) ACCESS(READ)
  • Segurança alternativa do usuário: Defina a autoridade alternativa do usuário, como: acesso UPDATE ao perfil <MQ_QMNAME>.ALTERNATE.USER.id de classe MQADMIN, em que id representa o ID de usuário no aplicativo Message Brokers Toolkit ou Configuration Manager Proxy. Por exemplo, para o gerenciador de filas MQP1, o ID da tarefa iniciada TASKID e o ID do usuário USERID, utilize os seguintes comandos RACF:
    RDEFINE MQADMIN MQP1.ALTERNATE.USER.USERID UACC(NONE)
    PERMIT MQP1.ALTERNATE.USER.USERID  CLASS(MQADMIN) ID(TASKID) ACCESS(UPDATE)

Autorizações Requeridas para o Administrador do WebSphere Message Broker

O administrador do intermediário requer as seguintes autorizações:

  • Acesso ALTER ao componente PDSE.
  • Acesso READ, WRITE e EXECUTE para o diretório do componente ++COMPONENTDIRECTORY++.
  • Acesso READ/EXECUTE em <INSTPATH>, em que <INSTPATH> corresponde ao diretório no qual o WebSphere Message Broker for z/OS está instalado pelo SMP/E.
  • Acesso READ/WRITE ao diretório identificado por ++HOME++.
  • No UNIX System Services, o ID do usuário da tarefa iniciada e o ID do usuário do administrador do WebSphere Message Broker devem ser membros dos grupos que possuem acesso aos diretórios de instalação e de componentes, porque ambos precisam de privilégios em relação a eles. O proprietário desses diretórios precisa fornecer as permissões apropriadas a esse grupo.
  • Para executar a transmissão do DB2 ao criar e excluir componentes DBADM, a autoridade para o banco de dados intermediário é requerida.

Autorizações Requeridas para o Administrador do DB2

O administrador do DB2 precisa ter as seguintes autorizações para executar as tarefas de configuração do DB2 BIPCRDB e BIPDLDB:
  • Acesso ALTER ao componente PDSE.
  • Autorizações do DB2: Autoridade SYSCTRL ou SYSADM.
  • CREATE STOGROUP, CREATE DATABASE e CREATE TABLESPACEs.
  • DROP DATABASE e DROP STOGROUP.
Se o administrador do DB2 executar a transmissão via DB2 ao criar e ao excluir um componente, o ID de usuário do administrador também precisará das autorizações a seguir. Como alternativa, você pode conceder autorização ao administrador do WebSphere Message Broker para executar a transmissão via DB2.
  • Acesso READ, WRITE e EXECUTE para o diretório do componente ++COMPONENTDIRECTORY++.
  • Acesso READ/EXECUTE em <INSTPATH>, em que <INSTPATH> corresponde ao diretório no qual o WebSphere Message Broker for z/OS está instalado pelo SMP/E.
  • Acesso READ/WRITE ao diretório identificado por ++HOME++.
  • No UNIX System Services, o ID do usuário da tarefa iniciada e o ID do usuário do administrador do WebSphere Message Broker devem ser membros dos grupos que possuem acesso aos diretórios de instalação e de componentes, porque ambos precisam de privilégios em relação a eles. O proprietário desses diretórios precisa fornecer as permissões apropriadas a esse grupo.

Autorizações Requeridas para o Administrador do WebSphere MQ

Se o administrador do WebSphere MQ executar a transmissão via WebSphere MQ ao criar um componente, o ID de usuário do administrador precisará das seguintes autorizações. Como alternativa para o WebSphere MQ, você pode conceder autorização ao administrador do WebSphere Message Broker para executar a transmissão via WebSphere MQ.
  • Acesso ALTER ao componente PDSE.
  • Autorizações de diretório:
    • Acesso READ/EXECUTE em <INSTPATH>, em que <INSTPATH> corresponde ao diretório no qual o WebSphere Message Broker for z/OS está instalado pelo SMP/E.
    • Acesso READ, WRITE e EXECUTE para o diretório do componente ++COMPONENTDIRECTORY++.
    • Acesso READ/WRITE ao diretório identificado por ++HOME++.
Ative a segurança do WebSphere MQ para proteger os recursos do WebSphere MQ. Se todas as chaves de segurança do WebSphere MQ estiverem ativadas, defina os seguintes perfis e conceda ao administrador do WebSphere MQ o acesso listado a cada perfil para executar as tarefas de configuração do WebSphere MQ. Para cada acesso de perfil listado, MQ_QMNAME representa o gerenciador de filas do WebSphere MQ com o qual o componente do WebSphere Message Broker está conectado e MQADMIN representa o ID do administrador do WebSphere MQ:
  • Segurança de conexão: acesso READ ao perfil <MQ_QMNAME>.BATCH de classe MQCONN. Por exemplo, para o gerenciador de filas MQP1 e o ID do administrador MQADMIN do WebSphere MQ utilize os seguintes comandos RACF:
    RDEFINE MQCONN MQP1.BATCH UACC(NONE)
    PERMIT MQP1.BATCH CLASS(MQCONN) ID(MQADMIN) ACCESS(READ)
  • Segurança de filas: acesso UPDATE ao perfil <MQ_QMNAME>.queue de classe MQQUEUE para filas de componentes criadas ou excluídas. É possível criar um perfil genérico SYSTEM.BROKER.** Por exemplo, para o gerenciador de filas MQP1 e o ID do administrador MQADMIN do WebSphere MQ, utilize o seguinte comando RACF para restringir o acesso a filas de componentes:
    RDEFINE MQQUEUE MQP1.SYSTEM.BROKER.** UACC(NONE)
    PERMIT MQP1.SYSTEM.BROKER.** CLASS(MQQUEUE) ID(MQADMIN) ACCESS(UPDATE) 
  • Servidor de comandos do sistema: acesso UPDATE ao perfil <MQ_QMNAME>.queue de classe MQQUEUE para SYSTEM.COMMAND.**. Por exemplo, para o gerenciador de filas MQP1 e WebSphere MQ, ID de administrador MQADMIN, utilize os seguintes comandos RACF para restringir o acesso ao servidor de comandos do sistema:
    RDEFINE MQQUEUE MQP1.SYSTEM.COMMAND.** UACC(NONE)
    PERMIT MQP1.SYSTEM.COMMAND.** CLASS(MQQUEUE) ID(MQADMIN) ACCESS(UPDATE)
    Acesso UPDATE ao perfil <MQ_QMNAME>.queue de classe MQQUEUE para algumas filas do sistema utilizadas durante uma tarefa de criação/exclusão. É possível criar um perfil genérico <MQ_QMNAME>.**
  • Segurança do comando:
    • Para executar a transmissão do WebSphere MQ ao criar um componente, você precisa:
      • Acesso ALTER a <MQ_QMNAME>.DEFINE.QLOCAL de classe MQCMDS.
      • Acesso ALTER a <MQ_QMNAME>.DEFINE.QMODEL de classe MQCMDS.
      • Acesso ALTER a <MQ_QMNAME>.DEFINE.CHANNEL de classe MQCMDS.
    • Para executar a transmissão do WebSphere MQ ao excluir um componente, você precisa:
      • Acesso ALTER a <MQ_QMNAME>.DELETE.QLOCAL de classe MQCMDS.
      • Acesso ALTER a <MQ_QMNAME>.DELETE.QMODEL de classe MQCMDS.
      • Acesso ALTER a <MQ_QMNAME>.DELETE.CHANNEL de classe MQCMDS.
    Para o gerenciador de filas MQP1 e o ID do administrador do WebSphere MQ MQADMIN, utilize os comandos RACF a seguir: Início da mudança
    RDEFINE MQCMDS MQP1.DELETE.QLOCAL UACC(NONE)
    PERMIT MQP1.DELETE.QLOCAL CLASS(MQCMDS) ID(MQADMIN) ACCESS(ALTER)
    Fim da mudança
  • Segurança de comando do recurso: Acesso de ALTER para MQP1.QUEUE.queue da classe MQADMIN para cada fila criada ou excluída. É possível criar um perfil genérico SYSTEM.BROKER.**. Por exemplo, para o gerenciador de filas MQP1 e o ID do administrador MQADMIN do WebSphere MQ, utilize os seguintes comandos RACF:
    RDEFINE MQADMIN MQP1.QUEUE.SYSTEM.BROKER.** UACC(NONE)
    PERMIT MQP1.SYSTEM.BROKER.** CLASS(MQADMIN) ID(MQADMIN) ACCESS(ALTER)
  • Segurança de processo e namelist: Se você tiver opções de segurança do WebSphere MQ ativadas no sistema para segurança de processo e namelist, não é necessário definir nenhum perfil de acesso em uma configuração padrão do WebSphere Message Broker.

Para obter uma descrição de como implementar a segurança do WebSphere MQ utilizando o RACF, consulte Configurando o WebSphere MQ.

Autorizações Requeridas para o ID do Usuário de Tarefa Iniciada do Subsistema DB2

O DB2 precisa do acesso ALTER ao valor do catálogo especificado em DB2_STOR_GROUP_VCAT porque ele cria conjuntos de dados com esse qualificador de alto nível.

Tarefas relacionadas
Configurando a Segurança no z/OS
Avisos | Marcas Registradas | Downloads | Biblioteca | Suporte | Feedback
Direitos Autorais IBM Corporation 1999, 2006 Última Atualização: 1 Sep 2006
ae14040_