Configurando a Segurança no z/OS

É necessário concluir algumas tarefas de configuração de segurança antes do WebSphere Message Broker poder funcionar corretamente. As etapas que você precisa seguir são descritas neste tópico e também nos seguintes tópicos:

Decida sobre os nomes das tarefas iniciadas do intermediário, Configuration Manager e Servidor de Nome de Usuário. Esses nomes são utilizados para configurar autorizações de tarefas iniciadas e para gerenciar o desempenho do sistema.

Decida sobre a convenção de nomenclatura do conjunto de dados para PDSEs do WebSphere Message Broker. Um nome comum pode ser WMQI.MQP1BRK.CNTL ou MQS.MQP1UNS.BIPCNTL, em que MQP1 é o nome do gerenciador de filas. É necessário conceder aos administradores do WebSphere Message Broker, WebSphere MQ, DB2 e do z/OS acesso a esses conjuntos de dados. Você pode conceder a estes profissionais acesso de controle de várias formas, por exemplo:
  • Conceder a cada usuário individual acesso ao conjunto de dados específico.
  • Definir um perfil de conjunto de dados genérico, definindo um grupo que contenha os IDs do usuário dos administradores. Conceder acesso de controle de grupo ao perfil de conjunto de dados genérico.

Se estiver planejando utilizar o Publicação/Assinatura, defina um grupo chamado MQBRKRS e conecte os IDs de usuários da tarefa iniciada com esse grupo. Defina um segmento de grupo de OMVS para esse grupo para que o Servidor de Nome de Usuário possa extrair informações do banco de dados ESM (External Security Manager) para permitir que você utilize a segurança do Publicação/Assinatura.

Cada intermediário precisa de um ID exclusivo para suas tabelas do DB2.Ele pode ser:
  • Um ID do usuário exclusivo de tarefa iniciada; você pode utilizar o nome do intermediário como o ID do usuário de tarefa iniciada.

    Um grupo exclusivo para o intermediário (por exemplo, MQP1GRP) que tenha definido todas as autoridades necessárias do DB2. O ID do usuário de tarefa iniciada do intermediário e o administrador WebSphere Message Broker são membros desse grupo.

  • Um ID do usuário de tarefa iniciada compartilhado e um grupo exclusivo especificados para identificar as tabelas do DB2 a serem utilizadas com a interface ODBC. Utilize o nome do intermediário como o nome do grupo.
Defina um segmento de OMVS para o ID do usuário da tarefa iniciada e forneça espaço suficiente para seu diretório home para qualquer dump do WebSphere Message Broker. Considere utilizar o nome do procedimento de tarefa iniciada como o ID do usuário da tarefa iniciada. Verifique se seu segmento OMVS está definido, utilizando o seguinte comando do TSO:
LU userid OMVS
A saída do comando inclui o segmento OMVS, por exemplo:
USER=MQP1BRK NAME=SMITH, JANE OWNER=TSOUSER
CREATED=99.342 DEFAULT-GROUP=TSOUSER PASSDATE=01.198
PASS-INTERVAL=30
......
OMVS INFORMATION
----------------
UID=0000070594
HOME=/u/MQP1BRK
PROGRAM=/bin/sh
CPUTIMEMAX=NONE
ASSIZEMAX=NONE
FILEPROCMAX=NONE
PROCUSERMAX=NONE
THREADSMAX=NONE
MMAPAREAMAX=NONE
O comando:
df -P /u/MQP1BRK
exibe a quantidade de espaço utilizado e disponível, em que /u/MQP1BRK é o valor de HOME acima.Este comando mostra a quantidade de espaço disponível no momento no sistema de arquivos. Verifique com os administradores de dados se isso será suficiente. Você precisa de no mínimo de 400.000 blocos livres, que serão necessários se um dump for executado.

Associe o procedimento de tarefa iniciada ao ID do usuário a ser utilizado. Por exemplo, você pode utilizar a classe STARTED no RACF. Os administradores do WebSphere Message Broker e do z/OS devem estar de acordo com o nome da tarefa iniciada.

Os administradores do WebSphere Message Broker precisam de um segmento OMVS e de um diretório pessoal.Verifique a configuração descrita acima.

Os IDs do usuário de tarefa iniciada e os administradores do WebSphere Message Broker precisam de acesso aos arquivos de processamento de instalação, aos arquivos específicos do componente e ao diretório home da tarefa iniciada. Durante a personalização, a propriedade do arquivo pode ser alterada para alterar o acesso do grupo. Isto pode requerer autoridade de superusuário.

Quando o ID do usuário do serviço for raiz, todas as bibliotecas carregadas pelo intermediário, incluindo todas as bibliotecas de plug-in gravadas pelo usuário e todas as bibliotecas compartilhadas que ele pode acessar, também terão acesso de raiz a todos os recursos do sistema (por exemplo, conjuntos de arquivos). Leia e avalie o risco envolvido ao conceder este nível de autorização.

Para obter informações adicionais sobre os vários aspectos de segurança, consulte Visão Geral de Segurança.

Conceitos relacionados
Visão Geral de Segurança
Início da mudançaAtivando o Configuration Manager no z/OS para Obter Informações do ID do UsuárioFim da mudança
Tarefas relacionadas
Configurando o DB2
Configurando o WebSphere MQ
Configurando o acesso do workbench no z/OS
Criando IDs de Usuários do Publicação/Assinatura
Referências relacionadas
Tarefas e Funções de Customização no z/OS
Resumo de Acesso Requerido (z/OS)
Avisos | Marcas Registradas | Downloads | Biblioteca | Suporte | Feedback
Direitos Autorais IBM Corporation 1999, 2006 Última Atualização: 1 Sep 2006
ae14030_