Zusammenfassung der erforderlichen Zugriffsberechtigungen (Z/OS)

Im Folgenden finden Sie eine Zusammenfassung der Zugriffsberechtigungen, die die verantwortlichen Personen in Ihrem Unternehmen benötigen.

Berechtigungen, die für die Benutzer-ID der in WebSphere Message Broker gestarteten Task erforderlich sind

Folgende Verzeichnisberechtigungen sind für alle Komponenten erforderlich:
  • Lese- und Schreibzugriff (READ/EXECUTE) auf <INSTPATH>; dabei ist <INSTPATH> das Verzeichnis, in dem unter Verwendung von SMP/E WebSphere Message Broker for z/OS installiert ist.
  • Lese-, Schreib- und Ausführungszugriff (READ/WRITE/EXECUTE) auf das Komponentenverzeichnis ++COMPONENTDIRECTORY++.
  • Schreib-/Lese-Zugriff auf das Ausgangsverzeichnis.
  • Lese- und Schreibzugriff (READ/WRITE) auf das Ausgangsverzeichnis ++HOME++.
  • In UNIX System Services müssen die Benutzer-ID der gestarteten Task und die Benutzer-ID des WebSphere Message Broker-Administrators zu den Gruppen gehören, die Zugriff auf die Installations- und Komponentenverzeichnisse haben, da beide IDs Zugriffsberechtigungen für diese Verzeichnisse benötigen. Der Eigner dieser Verzeichnisse muss dieser Gruppe die erforderlichen Berechtigungen erteilen.

Beginn der ÄnderungDie folgenden PDSE- und DB2-Berechtigungen sind nur für eine Brokerkomponente erforderlich, d. h. nicht für einen Konfigurationsmanager oder Benutzernamensserver. Ende der Änderung

Beginn der ÄnderungLesezugriff (READ) auf die Komponenten-PDSE ist erforderlich. Ende der Änderung

DB2-Berechtigungen für die Benutzer-ID der gestarteten Task und die Tabelleneigner-ID sind erforderlich:
  • Wenn ein Profil für db2subsystem.RRSAF in der DSNR-Klasse vorhanden ist, sind für die Benutzer-ID der gestarteten Task Zugriffsberechtigungen für das Profil erforderlich. Mit dem folgenden RACF-Befehl können Sie beispielsweise feststellen, ob das Profil vorhanden ist:
    RLIST  DSNR (DB2P.RRSAF) 
    Mit dem folgenden Befehl können Sie die erforderlichen Zugriffsberechtigungen erteilen:
    PERMIT  DB2P.RRSAF  CLASS(DSNR) ID(WQMITASK)  ACCESS(READ)
  • Berechtigungen zum Auswählen für die Tabellen SYSIBM.SYSTABLES, SYSIBM.SYSSYNONYMS und SYSIBM.SYSDATABASE.
  • Berechtigungen zum Auswählen, Aktualisieren, Einfügen und Löschen für alle Systemtabellen des Brokers.
  • Bei DB2_TABLE_OWNER muss es sich um eine gültige Berechtigungs-ID der Benutzer-ID der gestarteten Task handeln.
  • Ausführungs-Berechtigung für den Plan DSNACLI oder eine entsprechende Berechtigung für die Benutzer-ID der gestarteten Task.

WebSphere MQ-Berechtigungen:

Aktivieren Sie die WebSphere MQ-Sicherheitsfunktion zum Schutz Ihrer WebSphere MQ-Ressourcen. Wenn alle WebSphere MQ-Sicherheitsschalter aktiviert sind, definieren Sie die folgenden Profile und ordnen Sie der Benutzer-ID der gestarteten Task die in der Liste enthaltenen Zugriffsberechtigungen für die jeweiligen Profile zu. In den aufgeführten Profilberechtigungen steht <MQ_QMNAME> für den WebSphere MQ-Warteschlangenmanager, mit dem die WebSphere Message Broker-Komponente verbunden ist. TASKID steht für die Benutzer-ID der in WebSphere Message Broker gestarteten Task.

  • Sicherheit beim Verbindungsaufbau: Lesezugriff (READ) auf das Profil <MQ_QMNAME>.BATCH der Klasse MQCONN. Verwenden Sie beispielsweise folgende RACF-Befehle für den Warteschlangenmanager MQP1 und die ID der gestarteten Task TASKID:
    RDEFINE MQCONN MQP1.BATCH UACC(NONE)
    PERMIT MQP1.BATCH CLASS(MQCONN) ID(TASKID) ACCESS(READ)
  • Warteschlangensicherheit: Aktualisierungszugriff (UPDATE) auf das Profil <MQ_QMNAME>.queue der Klasse MQQUEUE für alle Warteschlangen. Sie können beispielsweise Profile für die folgenden Warteschlangen erstellen:
    • Alle Komponentenwarteschlangen, die das generische Profil SYSTEM.BROKER.** verwenden
    • Alle Übertragungswarteschlangen zwischen den Warteschlangenmanagern der Komponenten.
    • Alle in den Nachrichtenflüssen definierten Warteschlangen.
    • Warteschlangen für nicht zustellbare Nachrichten.
    Beispiel: Verwenden Sie für den Warteschlangenmanager MQP1 und die ID der gestarteten Task TASKID folgende RACF-Befehle, um den Zugriff auf die Komponentenwarteschlangen zu beschränken:
    RDEFINE MQQUEUE MQP1.SYSTEM.BROKER.** UACC(NONE)PERMIT MQP1.SYSTEM.BROKER.** CLASS(MQQUEUE) ID(TASKID) ACCESS(UPDATE)
  • Kontextsicherheit: Steuerungszugriff (CONTROL) auf das Profil <MQ_QMNAME>.CONTEXT der Klasse MQADMIN. Verwenden Sie beispielsweise folgende RACF-Befehle für den Warteschlangenmanager MQP1 und die ID der gestarteten Task TASKID:
    RDEFINE MQADMIN MQP1.CONTEXT UACC(NONE)
    PERMIT MQP1.CONTEXT CLASS(MQADMIN) ID(TASKID) ACCESS(CONTROL)
  • Sicherheit bei Verwendung alternativer Benutzer: Definieren Sie die alternative Benutzerberechtigung wie folgt: Aktualisierungszugriff (UPDATE) auf das Profil <MQ_QMNAME>.ALTERNATE.USER.id der Klasse MQADMIN; dabei steht id für die Service-ID der Konfigurationsmanager-Komponente. Verwenden Sie beispielsweise folgende RACF-Befehle für den Warteschlangenmanager MQP1 und die ID der gestarteten Task TASKID und die Konfigurationsservice-ID CFGID:
    RDEFINE MQADMIN MQP1.ALTERNATE.USER.CFGID UACC(NONE)
    PERMIT MQP1.ALTERNATE.USER.CFGID  CLASS(MQADMIN) ID(TASKID) ACCESS(UPDATE) 
    Aktualisierungszugriff (UPDATE) auf das Profil <MQ_QMNAME>.ALTERNATE.USER.id der Klasse MQADMIN; dabei steht id beispielsweise für die Benutzer-ID einer Publish/Subscribe-Anforderung.
  • Prozess- und Namenslistensicherheit: Wenn Sie in Ihrem System WebSphere MQ-Sicherheitsschalter für Prozess- und Namenslistensicherheit aktiviert haben, ist das Definieren von Zugriffsprofilen in einer WebSphere Message Broker-Standardkonfiguration nicht notwendig.
Benutzer, die sich per Remotezugriff entweder über das Message Brokers Toolkit oder aus einer Konfigurationsmanager-Proxy-Anwendung unter z/OS beim Konfigurationsmanager anmelden, benötigen folgende Berechtigungen:
  • Verbindungssicherheit: Lesezugriff (READ) auf das Profil <MQ_QMNAME>.CHIN der Klasse MQCONN. Verwenden Sie beispielsweise folgende RACF-Befehle für den Warteschlangenmanager MQP1 und die ID der gestarteten Task TASKID:
    RDEFINE MQCONN MQP1.CHIN UACC(NONE)
    PERMIT MQP1.CHIN CLASS(MQCONN) ID(TASKID) ACCESS(READ)
  • Sicherheit bei Verwendung alternativer Benutzer: Definieren Sie die alternative Benutzerberechtigung wie folgt: Aktualisierungszugriff (UPDATE) auf das Profil <MQ_QMNAME>.ALTERNATE.USER.id der Klasse MQADMIN; dabei steht id für die Benutzer-ID der Message Brokers Toolkit- oder Konfigurationsmanager-Proxy-Anwendung. Beispiel: Geben Sie für den Warteschlangenmanager MQP1, die ID TASKID der gestarteten Task und die Benutzer-ID USERID folgende RACF-Befehle ein:
    RDEFINE MQADMIN MQP1.ALTERNATE.USER.USERID UACC(NONE)
    PERMIT MQP1.ALTERNATE.USER.USERID  CLASS(MQADMIN) ID(TASKID) ACCESS(UPDATE)

Berechtigungen, die für den WebSphere Message Broker-Administrator erforderlich sind

Der Brokeradministrator benötigt die folgenden Berechtigungen:

  • Änderungs-Berechtigungen für die Komponenten-PDSE.
  • Lese-, Schreib- und Ausführungszugriff (READ, WRITE, EXECUTE) auf das Komponentenverzeichnis ++COMPONENTDIRECTORY++.
  • Lese- und Schreibzugriff (READ/EXECUTE) auf <INSTPATH>; dabei ist <INSTPATH> das Verzeichnis, in dem unter Verwendung von SMP/E WebSphere Message Broker for z/OS installiert ist.
  • Lese- und Schreibzugriff (READ/WRITE) auf das Ausgangsverzeichnis ++HOME++.
  • In UNIX System Services müssen die Benutzer-ID der gestarteten Task und die Benutzer-ID des WebSphere Message Broker-Administrators zu den Gruppen gehören, die Zugriff auf die Installations- und Komponentenverzeichnisse haben, da beide IDs Zugriffsberechtigungen für diese Verzeichnisse benötigen. Der Eigner dieser Verzeichnisse muss dieser Gruppe die erforderlichen Berechtigungen erteilen.
  • Um den DB2-Arbeitsgang beim Erstellen und Löschen von Komponenten ausführen zu können, ist die Berechtigung DBADM für die Brokerdatenbank erforderlich.

Erforderliche Berechtigungen für DB2-Administratoren

Der DB2-Administrator benötigt folgende Berechtigungen, um die DB2-Konfigurationsjobs BIPCRDB und BIPDLDB auszuführen:
  • Änderungs-Berechtigungen für die Komponenten-PDSE.
  • DB2-Berechtigungen: SYSCTRL oder SYSADM.
  • CREATE STOGROUP, CREATE DATABASE und CREATE TABLESPACEs.
  • DROP DATABASE und DROP STOGROUP.
Damit der DB2-Administrator beim Erstellen und Löschen einer Komponente den DB2-Arbeitsgang ausführen kann, muss die Benutzer-ID des Administrators außerdem über die folgenden Berechtigungen verfügen. Ebenso können Sie auch dem WebSphere Message Broker-Administrator die Berechtigung zum Ausführen des DB2-Arbeitsgangs erteilen.
  • Lese-, Schreib- und Ausführungszugriff (READ, WRITE und EXECUTE) auf das Komponentenverzeichnis ++COMPONENTDIRECTORY++.
  • Lese- und Schreibzugriff (READ/EXECUTE) auf <INSTPATH>; dabei ist <INSTPATH> das Verzeichnis, in dem unter Verwendung von SMP/E WebSphere Message Broker for z/OS installiert ist.
  • Lese- und Schreibzugriff (READ/WRITE) auf das Ausgangsverzeichnis ++HOME++.
  • In UNIX System Services müssen die Benutzer-ID der gestarteten Task und die Benutzer-ID des WebSphere Message Broker-Administrators zu den Gruppen gehören, die Zugriff auf die Installations- und Komponentenverzeichnisse haben, da beide IDs Zugriffsberechtigungen für diese Verzeichnisse benötigen. Der Eigner dieser Verzeichnisse muss dieser Gruppe die erforderlichen Berechtigungen erteilen.

Erforderliche Berechtigungen für WebSphere MQ-Administratoren

Damit der WebSphere MQ-Administrator beim Erstellen einer Komponente den WebSphere MQ-Arbeitsgang ausführen kann, muss die Benutzer-ID des Administrators über die folgenden Berechtigungen verfügen. Ebenso können Sie auch dem WebSphere Message Broker-Administrator die Berechtigung zum Ausführen des WebSphere MQ-Arbeitsgangs erteilen.
  • Änderungs-Berechtigungen für die Komponenten-PDSE.
  • Verzeichnisberechtigungen:
    • Lese- und Schreibzugriff (READ/EXECUTE) auf <INSTPATH>; dabei ist <INSTPATH> das Verzeichnis, in dem unter Verwendung von SMP/E WebSphere Message Broker for z/OS installiert ist.
    • Lese-, Schreib- und Ausführungszugriff (READ, WRITE und EXECUTE) auf das Komponentenverzeichnis ++COMPONENTDIRECTORY++.
    • Lese- und Schreibzugriff (READ/WRITE) auf das Ausgangsverzeichnis ++HOME++.
Aktivieren Sie die WebSphere MQ-Sicherheitsfunktion zum Schutz Ihrer WebSphere MQ-Ressourcen. Wenn alle WebSphere MQ-Sicherheitsschalter aktiviert sind, definieren Sie die folgenden Profile und ordnen Sie dem WebSphere MQ-Administrator die in der Liste enthaltenen Zugriffsberechtigungen für die jeweiligen Profile zu, damit die WebSphere MQ-Konfigurationsjobs ausgeführt werden können. In den aufgeführten Profilberechtigungen steht MQ_QMNAME für den WebSphere MQ-Warteschlangenmanager, mit dem die WebSphere Message Broker-Komponente verbunden ist. MQADMIN steht für die ID des WebSphere MQ-Administrators:
  • Sicherheit beim Verbindungsaufbau: Lesezugriff (READ) auf das Profil <MQ_QMNAME>.BATCH der Klasse MQCONN. Verwenden Sie beispielsweise folgende RACF-Befehle für den Warteschlangenmanager MQP1 und die ID des WebSphere MQ-Administrators MQADMIN:
    RDEFINE MQCONN MQP1.BATCH UACC(NONE)
    PERMIT MQP1.BATCH CLASS(MQCONN) ID(MQADMIN) ACCESS(READ)
  • Warteschlangensicherheit: Aktualisierungszugriff (UPDATE) auf das Profil <MQ_QMNAME>.queue der Klasse MQQUEUE für Warteschlangen, die erstellt oder gelöscht wurden. Sie können ein generisches Profil SYSTEM.BROKER.** erstellen. Verwenden Sie beispielsweise folgende RACF-Befehle für den Warteschlangenmanager MQP1 und die ID des WebSphere MQ-Administrators MQADMIN, um den Zugriff auf die Komponentenwarteschlangen zu beschränken:
    RDEFINE MQQUEUE MQP1.SYSTEM.BROKER.** UACC(NONE)PERMIT MQP1.SYSTEM.BROKER.** CLASS(MQQUEUE) ID(MQADMIN) ACCESS(UPDATE) 
  • Systembefehlsserver: Aktualisierungszugriff (UPDATE) auf das Profil <MQ_QMNAME>.queue der Klasse MQQUEUE für SYSTEM.COMMAND.**. Für den Warteschlangenmanager MQP1 und die WebSphere MQ-Administrator-ID MQADMIN beispielsweise wird der Zugriff auf den Systembefehlsserver mittels der folgenden RACF-Befehle eingeschränkt:
    RDEFINE MQQUEUE MQP1.SYSTEM.COMMAND.** UACC(NONE)
    PERMIT MQP1.SYSTEM.COMMAND.** CLASS(MQQUEUE) ID(MQADMIN) ACCESS(UPDATE) 
    Aktualisierungszugriff (UPDATE) auf das Profil <MQ_QMNAME>.queue der Klasse MQQUEUE für einige Systemwarteschlangen, die während des Jobs zum Erstellen/Löschen verwendet werden. Sie können das generische Profil <MQ_QMNAME>.** erstellen.
  • Befehlssicherheit:
    • Zum Ausführen des WebSphere MQ-Arbeitsgangs beim Erstellen einer Komponente benötigen Sie:
      • Änderungszugriff (ALTER) auf <MQ_QMNAME>.DEFINE.QLOCAL der Klasse MQCMDS.
      • Änderungszugriff (ALTER) auf <MQ_QMNAME>.DEFINE.QMODEL der Klasse MQCMDS.
      • Änderungszugriff (ALTER) auf <MQ_QMNAME>.DEFINE.CHANNEL der Klasse MQCMDS.
    • Zum Ausführen des WebSphere MQ-Arbeitsgangs beim Löschen einer Komponente benötigen Sie:
      • Änderungszugriff (ALTER) auf <MQ_QMNAME>.DELETE.QLOCAL der Klasse MQCMDS.
      • Änderungszugriff (ALTER) auf <MQ_QMNAME>.DELETE.QMODEL der Klasse MQCMDS.
      • Änderungszugriff (ALTER) auf <MQ_QMNAME>.DELETE.CHANNEL der Klasse MQCMDS.
    Für den Warteschlangenmanager MQP1 und die WebSphere MQ-Administrator-ID MQADMIN beispielsweise werden die folgenden RACF-Befehle eingegeben: Beginn der Änderung
    RDEFINE MQCMDS MQP1.DELETE.QLOCAL UACC(NONE)
    PERMIT MQP1.DELETE.QLOCAL CLASS(MQCMDS) ID(MQADMIN) ACCESS(ALTER)
    Ende der Änderung
  • Ressourcenbefehlssicherheit: Änderungszugriff (ALTER) auf MQP1.QUEUE.queue der Klasse MQADMIN für jede Warteschlange, die erstellt oder gelöscht wurde. Sie können ein generisches Profil (SYSTEM.BROKER.**) erstellen. Für den Warteschlangenmanager MQP1 und die WebSphere MQ-Administrator-ID MQADMIN beispielsweise werden die folgenden RACF-Befehle eingegeben:
    RDEFINE MQADMIN MQP1.QUEUE.SYSTEM.BROKER.** UACC(NONE)
    PERMIT MQP1.SYSTEM.BROKER.** CLASS(MQADMIN) ID(MQADMIN) ACCESS(ALTER)
  • Prozess- und Namenslistensicherheit: Wenn Sie in Ihrem System die WebSphere MQ-Sicherheitsschalter für die Prozess- und Namenslistensicherheit aktiviert haben, müssen keine Zugriffsprofile in einer WebSphere Message Broker-Standardkonfiguration definiert werden.

Informationen über das Implementieren der WebSphere MQ-Sicherheit unter Verwendung von RACF finden Sie unter WebSphere MQ einrichten.

Erforderliche Berechtigungen für die Benutzer-ID der gestarteten Task für das DB2-Subsystem

DB2 benötigt Änderungszugriff (ALTER) auf die in DB2_STOR_GROUP_VCAT angegebenen Katalogwerte, da es Dateien mit diesem übergeordneten Qualifikationsmerkmal erstellt.

Zugehörige Tasks
z/OS-Sicherheit einrichten
Bemerkungen | Marken | Downloads | Bibliothek | Unterstützung | Rückmeldung
Copyright IBM Corporation 1999, 2006 Letzte Aktualisierung: 23. Aug. 2006
ae14040_