Bestimmen Sie die Namen der gestarteten Tasks des Brokers, Konfigurationsmanagers und Benutzernamensserver. Auf Basis dieser Namen werden Berechtigungen für gestartete Task eingerichtet und die Systemleistung verwaltet.
Wenn Sie den Einsatz von Publish/Subscribe beabsichtigen, definieren Sie eine Gruppe mit dem Namen MQBRKRS, und verbinden Sie die Benutzer-IDs der gestarteten Task mit dieser Gruppe. Definieren Sie eine OMVS-Gruppensegment für diese Gruppe, so dass der Benutzernamensserver Informationen aus der ESM-Datenbank (External Security Manager) extrahieren kann, damit Sie die Publish/Subscribe-Sicherheit verwenden können.
Eine eindeutige Gruppe für den Broker (z. B. MQP1GRP), in der alle notwendigen DB2-Berechtigungen definiert sind. Die Benutzer-ID der gestarteten Task des Brokers und der WebSphere Message Broker-Administrator sind beide Mitglied dieser Gruppe.
LU Benutzer-ID OMVSDie Befehlsausgabe enthält das OMVS-Segment, zum Beispiel:
USER=MQP1BRK NAME=SMITH, JANE OWNER=TSOUSER CREATED=99.342 DEFAULT-GROUP=TSOUSER PASSDATE=01.198 PASS-INTERVAL=30 ...... OMVS INFORMATION ---------------- UID=0000070594 HOME=/u/MQP1BRK PROGRAM=/bin/sh CPUTIMEMAX=NONE ASSIZEMAX=NONE FILEPROCMAX=NONE PROCUSERMAX=NONE THREADSMAX=NONE MMAPAREAMAX=NONEDer Befehl
df -P /u/MQP1BRKzeigt die Größe des verfügbaren Speicherplatzes an, wobei /u/MQP1BRK dem Wert von HOME in der oben gezeigten Befehlsausgabe entspricht. Der Befehl zeigt Ihnen, wie viel Speicherplatz zurzeit im Dateisystem verfügbar ist. Überprüfen Sie zusammen mit den Datenadministratoren, ob dies ausreichend ist. Sie benötigen mindestens 400 000 freie Blöcke für den Fall, dass ein Speicherauszug erstellt wird.
Ordnen Sie der Prozedur der gestarteten Task die zu verwendende Benutzer-ID zu. Sie können beispielsweise die Klasse STARTED in RACF verwenden. Die Administratoren von WebSphere Message Broker und z/OS müssen dem Namen der gestarteten Task zustimmen.
WebSphere Message Broker-Administratoren benötigen ein OMVS-Segment und ein Ausgangsverzeichnis. Überprüfen Sie die oben beschriebene Konfiguration.
Die Benutzer-IDs für die gestartete Task und die WebSphere Message Broker-Administratoren müssen Zugriff auf die Verarbeitungsdateien für die Installation, die komponentenspezifischen Dateien und das Ausgangsverzeichnis der gestarteten Task haben. Während der Anpassung kann das Eigentumsrecht geändert werden, um den Gruppenzugriff zu ändern. Dazu ist möglicherweise Superuserberechtigung erforderlich.
Wenn root als Servicebenutzer-ID verwendet wird, haben alle vom Broker geladenen Bibliotheken, einschließlich aller benutzerdefinierten Plug-in-Bibliotheken und aller gemeinsam genutzten Bibliotheken, auf die sie zugreifen, ebenfalls Root-Zugriff auf alle Systemressourcen (beispielsweise Dateigruppen). Überprüfen und bewerten Sie das Risiko, das mit der Erteilung dieser Berechtigungsstufe verbunden ist.
Weitere Informationen zu den verschiedenen Sicherheitsaspekten finden Sie unter Sicherheit - Übersicht.