z/OS のセキュリティーのセットアップ

WebSphere Message Broker が正常に作動するには、その前にいくつかのセキュリティー構成タスクを完了する必要があります。 このトピックと以下のトピックには、実行する必要のあるステップが説明されています。

ブローカー、構成マネージャー、およびユーザー・ネーム・サーバーの開始済みタスク名を決定します。 これらの名前は、開始済みタスク許可をセットアップするため、およびシステム・パフォーマンスを管理するために使用されます。

WebSphere Message Broker PDSE に合わせてデータ・セット命名規則を決定してください。 標準的な名前は、WMQI.MQP1BRK.CNTL または MQS.MQP1UNS.BIPCNTL などで、MQP1 はキュー・マネージャーです。 これらのデータ・セットへのアクセス権を、WebSphere Message BrokerWebSphere MQDB2、および z/OS 管理者に与えることが必要です。 これらの管理者に制御アクセスを付与するには、例えば以下のようないくつかの方法があります。
  • 各ユーザーに特定のデータ・セットへの個別のアクセス権を与える。
  • 一般データ・セット・プロファイル・プロファイルを定義し、管理者のユーザー ID を含むグループを定義する。 グループ制御アクセス権を一般データ・セット・プロファイルに付与する。

パブリッシュ/サブスクライブを使用する予定である場合、MQBRKRS というグループを定義し、開始済みタスク・ユーザー ID をこのグループに接続してください。 ユーザー・ネーム・サーバー が外部セキュリティー・マネージャー (ESM) データベースから情報を抽出して パブリッシュ/サブスクライブ・セキュリティーを使用可能にするために、このグループ用に OMVS グループ・セグメントを定義します。

各ブローカーには、DB2 表用の固有の ID が必要です。 次のような ID です。
  • 固有の開始済みタスク・ユーザー ID。ブローカー名を開始済みタスク・ユーザー ID として使用できます。

    必要なすべての DB2 権限を定義したブローカーの固有グループ (例えば MQP1GRP)。 ブローカーが開始するタスクのユーザー ID および WebSphere Message Broker 管理者は、両方ともこのグループのメンバーです。

  • 共用開始済みタスク・ユーザー ID および ODBC インターフェースで使用される DB2 表を識別するために指定される固有グループ。 ブローカー名をグループ名として使用します。
開始済みタスク・ユーザー ID 用に OMVS セグメントを定義し、そのホーム・ディレクトリーには WebSphere Message Broker ダンプに備えて十分なスペースを設けます。 開始済みタスク・プロシージャー名を開始済みタスク・ユーザー ID として使用することを考慮します。 OMVS セグメントが、次の TSO コマンドを使用することによって定義されることを検査してください。
LU userid OMVS
コマンド出力には OMVS セグメントが含まれます。以下に例を示します。
USER=MQP1BRK NAME=SMITH, JANE OWNER=TSOUSER
CREATED=99.342 DEFAULT-GROUP=TSOUSER PASSDATE=01.198
PASS-INTERVAL=30
......
OMVS INFORMATION
----------------
UID=0000070594
HOME=/u/MQP1BRK
PROGRAM=/bin/sh
CPUTIMEMAX=NONE
ASSIZEMAX=NONE
FILEPROCMAX=NONE
PROCUSERMAX=NONE
THREADSMAX=NONE
MMAPAREAMAX=NONE
以下のようなコマンドの場合、
df -P /u/MQP1BRK
使用されるスペースおよび使用可能なスペースの量が表示されます。 ここで、/u/MQP1BRK は上記の HOME からの値です。 このコマンドは、ファイル・システムで現在使用可能なスペースの量を示します。 これで十分であることをデータ管理者と確認してください。 ダンプに備えて、フリーのブロックが最低 400 000 必要です。

開始済みタスク・プロシージャーを、使用されるユーザー ID に関連付けます。 たとえば、RACF® の STARTED クラスを使用できます。 WebSphere Message Broker および z/OS 管理者は、開始済みタスクの名前に同意していなければなりません。

WebSphere Message Broker 管理者には、OMVS セグメントおよびホーム・ディレクトリーが必要です。 前述のセットアップを検査してください。

開始済みタスク・ユーザー ID および WebSphere Message Broker 管理者は、インストール処理ファイル、コンポーネント特定のファイル、および開始済みタスクのホーム・ディレクトリーにアクセスできなければなりません。 カスタマイズ中、ファイルの所有権を変更し、グループ・アクセスを変更することができます。 これにはスーパーユーザー権限が必要です。

サービス利用者 ID が root の場合、ブローカーのロードするすべてのライブラリー (すべてのユーザー作成プラグイン・ライブラリーと、それらのライブラリーがアクセスする可能性のあるすべての共用ライブラリーを含む) も、すべてのシステム・リソース (ファイル・セットなど) に root アクセスできるようになります。 このレベルの許可を認可するときは、生じ得るリスクに配慮して判断してください。

セキュリティーのさまざまな局面の詳細については、セキュリティーの概要を参照してください。

関連概念
セキュリティーの概要
変更の始まりユーザー ID 情報を取得するための z/OS 上の構成マネージャーの使用可能化変更の終わり
関連タスク
DB2 のセットアップ
WebSphere MQ のセットアップ
z/OS でのワークベンチ・アクセスのセットアップ
パブリッシュ/サブスクライブのユーザー ID の作成
関連資料
z/OS でのカスタマイズ・タスクおよび役割
必須アクセスの要約 (z/OS)
特記事項 | 商標 | ダウンロード | ライブラリー | サポート | フィードバック
Copyright IBM Corporation 1999, 2006 最終更新: 08/21/2006
ae14030_