필수 액세스 요약(z/OS)

다음 정보는 조직의 전문가에게 필요한 액세스 권한을 요약하여 보여줍니다.

WebSphere Message Broker 시작 작업 사용자 ID에 필요한 권한 부여

모든 구성요소에 필요한 디렉토리 권한 부여는 다음과 같습니다.
  • <INSTPATH>에 대한 읽기/실행 액세스 권한. 여기서 <INSTPATH>는 SMP/E가 z/OSWebSphere Message Broker를 설치한 디렉토리입니다.
  • 구성요소 디렉토리 ++COMPONENTDIRECTORY++로의 읽기/쓰기/실행 액세스 권한
  • READ/WRITE는 홈 디렉토리에 액세스합니다.
  • ++HOME++으로 식별되는 디렉토리로의 읽기/쓰기 액세스 권한.
  • UNIX 시스템 서비스에서 시작 작업 사용자 ID 및 WebSphere Message Broker 관리자 사용자 ID는 모두 설치 및 구성요소에 대한 권한이 필요하므로, 이 디렉토리에 액세스할 수 있는 그룹의 구성원이어야 합니다. 이러한 디렉토리의 소유자는 이 그룹에 적절한 그룹을 부여해야 합니다.

변경 시작다음 PDSE 및 DB2 권한 부여는 구성 관리자 또는 사용자 이름 서버가 아니라 브로커 구성요소에만 필요합니다. 변경 끝

변경 시작구성요소 PDSE로의 읽기 액세스 권한이 필요합니다.변경 끝

시작 작업 사용자 ID 및 테이블 소유자 ID에 대한 DB2 권한 부여가 필요합니다.
  • DSNR 클래스에 db2subsystem.RRSAF에 대한 프로파일이 있는 경우, 시작 작업 사용자 ID에 프로파일 액세스 권한이 있어야 합니다. 예를 들면, 다음 RACF 명령은 프로파일의 존재 여부를 표시합니다.
    RLIST  DSNR (DB2P.RRSAF) 
    그리고 다음 명령은 필요한 액세스 권한을 부여합니다.
    PERMIT  DB2P.RRSAF  CLASS(DSNR) ID(WQMITASK)  ACCESS(READ)
  • SYSIBM.SYSTABLES, SYSIBM.SYSSYNONYMS 및 SYSIBM.SYSDATABASE 테이블에 대한 SELECT 권한.
  • 모든 브로커 시스템 테이블에 대한 SELECT, UPDATE, INSERTDELETE 권한
  • DB2_TABLE_OWNER는 시작 작업 사용자 ID의 올바른 권한 부여 ID여야 합니다.
  • DSNACLI 계획에 대한 EXECUTE 권한 또는 시작 작업 사용자 ID에 대한 동등한 권한.

WebSphere MQ 권한 부여:

WebSphere MQ 자원을 보호하려면 WebSphere MQ 보안을 사용하십시오. 모든 WebSphere MQ 보안 스위치가 사용 가능한 경우, 다음 프로파일을 정의하고 시작 작업 사용자 ID에 나열된 각 프로파일 액세스 권한을 부여하십시오. 나열된 각 프로파일 액세스에 대해 <MQ_QMNAME>WebSphere Message Broker 구성요소가 연결된 WebSphere MQ 큐 관리자를 나타내고 TASKIDWebSphere Message Broker 시작 작업 사용자 ID를 나타냅니다.

  • 연결 보안: MQCONN 클래스의 <MQ_QMNAME>.BATCH 프로파일에 대한 읽기 액세스 권한. 예를 들면, 큐 관리자 MQP1 및 시작 작업 ID TASKID에 대해 다음 RACF 명령을 사용하십시오.
    RDEFINE MQCONN MQP1.BATCH UACC(NONE)
    PERMIT MQP1.BATCH CLASS(MQCONN) ID(TASKID) ACCESS(READ)
  • 큐 보안: 모든 큐에 대해 MQQUEUE 클래스의 <MQ_QMNAME>.queue 프로파일에 대한 갱신 액세스 권한. 다음 큐에 대해 프로파일 작성을 고려하십시오.
    • 일반 프로파일인 SYSTEM.BROKER.**를 사용하는 모든 구성요소 큐
    • 구성요소 큐 관리자 간에 정의된 모든 트랜스미션 큐
    • 메시지 플로우에 정의된 모든 큐
    • 데드-레터 큐
    예를 들면, 큐 관리자 MQP1 및 시작 작업 ID TASKID에 대해 다음의 RACF 명령을 사용하여 구성요소 큐에 대한 액세스를 제한하십시오.
    RDEFINE MQQUEUE MQP1.SYSTEM.BROKER.** UACC(NONE)
    PERMIT MQP1.SYSTEM.BROKER.** CLASS(MQQUEUE) ID(TASKID) ACCESS(UPDATE)
  • 컨텍스트 보안: MQADMIN 클래스의 <MQ_QMNAME>.CONTEXT 프로파일에 대한 CONTROL 액세스 권한. 예를 들면, 큐 관리자 MQP1 및 시작 작업 ID TASKID에 대해 다음 RACF 명령을 사용하십시오.
    RDEFINE MQADMIN MQP1.CONTEXT UACC(NONE)
    PERMIT MQP1.CONTEXT CLASS(MQADMIN) ID(TASKID) ACCESS(CONTROL)
  • 대체 사용자 보안: 다음과 같이 대체 사용자 권한을 정의하십시오. MQADMIN 클래스의 <MQ_QMNAME>.ALTERNATE.USER.id 프로파일에 대한 UPDATE 액세스 권한. 여기서 id는 Windows 구성 관리자 구성요소의 서비스 ID를 나타냅니다. 예를 들면, 큐 관리자 MQP1, 시작 작업 ID TASKID 및 구성 서비스 ID CFGID에 대해 다음 RACF 명령을 사용하십시오.
    RDEFINE MQADMIN MQP1.ALTERNATE.USER.CFGID UACC(NONE)
    PERMIT MQP1.ALTERNATE.USER.CFGID  CLASS(MQADMIN) ID(TASKID) ACCESS(UPDATE) 
    MQADMIN 클래스의 <MQ_QMNAME>.ALTERNATE.USER.id 프로파일에 대한 갱신 액세스 권한. 여기서 id는 Publish/Subscribe와 같은 요청의 사용자 ID를 나타냅니다.
  • 프로세스 및 이름 목록 보안: 시스템에서 프로세스 및 이름 목록 보안에 대해 WebSphere MQ 보안 스위치가 사용 가능한 경우, WebSphere Message Broker 디폴트 구성에 액세스 프로파일을 정의할 필요가 없습니다.
Message Brokers Toolkit 또는 구성 관리자 프록시 응용프로그램에서 z/OS구성 관리자에 원격으로 연결하는 사용자의 경우, 다음과 같은 권한 부여가 필요합니다.
  • 연결 보안: MQCONN 클래스의 <MQ_QMNAME>.CHIN 프로파일에 대한 읽기 액세스 권한. 예를 들면, 큐 관리자 MQP1 및 시작 작업 ID TASKID에 대해 다음 RACF 명령을 사용하십시오.
    RDEFINE MQCONN MQP1.CHIN UACC(NONE)
    PERMIT MQP1.CHIN CLASS(MQCONN) ID(TASKID) ACCESS(READ)
  • 대체 사용자 보안: 다음과 같이 대체 사용자 권한을 정의하십시오. MQADMIN 클래스의 <MQ_QMNAME>.ALTERNATE.USER.id 프로파일에 대한 갱신 액세스 권한. 여기서 idMessage Brokers Toolkit 또는 구성 관리자 프록시 응용프로그램의 사용자 ID를 나타냅니다. 예를 들면, 큐 관리자 MQP1, 시작 작업 ID TASKID 및 사용자 ID USERID에 대해 다음 RACF 명령을 사용하십시오.
    RDEFINE MQADMIN MQP1.ALTERNATE.USER.USERID UACC(NONE)
    PERMIT MQP1.ALTERNATE.USER.USERID  CLASS(MQADMIN) ID(TASKID) ACCESS(UPDATE)

WebSphere Message Broker 관리자에게 필요한 권한 부여

브로커 관리자는 다음 권한 부여가 필요합니다.

  • ALTER는 구성요소 PDSE로 액세스합니다.
  • ++COMPONENTDIRECTORY++ 구성요소 디렉토리에 대한 읽기, 쓰기실행 액세스 권한.
  • <INSTPATH>에 대한 읽기/실행 액세스 권한. 여기서 <INSTPATH>는 SMP/E가 z/OSWebSphere Message Broker를 설치한 디렉토리입니다.
  • ++HOME++으로 식별되는 디렉토리로의 읽기/쓰기 액세스 권한.
  • UNIX 시스템 서비스에서 시작 작업 사용자 ID 및 WebSphere Message Broker 관리자 사용자 ID는 모두 설치 및 구성요소에 대한 권한이 필요하므로, 이 디렉토리에 액세스할 수 있는 그룹의 구성원이어야 합니다. 이러한 디렉토리의 소유자는 이 그룹에 적절한 그룹을 부여해야 합니다.
  • 구성요소 작성 및 삭제 시 DB2 전달을 실행하려면 브로커 데이터베이스에 DBADM 권한이 필요합니다.

DB2 관리자에게 필요한 권한 부여

DB2 관리자에게는 DB2 구성 작업 BIPCRDBBIPDLDB를 실행하기 위해 다음 권한을 부여해야 합니다.
  • ALTER는 구성요소 PDSE로 액세스합니다.
  • DB2 권한 부여: SYSCTRL 또는 SYSADM 권한
  • CREATE STOGROUP, CREATE DATABASECREATE TABLESPACEs.
  • DROP DATABASEDROP STOGROUP.
구성요소 작성 및 삭제 시 DB2 관리자가 DB2 패스를 실행하는 경우 관리자 사용자 ID에는 다음 권한이 필요합니다. 또는 WebSphere Message Broker 관리자에게 권한을 부여하여 DB2 패스를 실행할 수 있습니다.
  • ++COMPONENTDIRECTORY++ 구성요소 디렉토리에 대한 읽기, 쓰기실행 액세스 권한
  • <INSTPATH>에 대한 읽기/실행 액세스 권한. 여기서 <INSTPATH>는 SMP/E가 z/OSWebSphere Message Broker를 설치한 디렉토리입니다.
  • ++HOME++으로 식별되는 디렉토리로의 읽기/쓰기 액세스 권한.
  • UNIX 시스템 서비스에서 시작 작업 사용자 ID 및 WebSphere Message Broker 관리자 사용자 ID는 모두 설치 및 구성요소에 대한 권한이 필요하므로, 이 디렉토리에 액세스할 수 있는 그룹의 구성원이어야 합니다. 이러한 디렉토리의 소유자는 이 그룹에 적절한 그룹을 부여해야 합니다.

WebSphere MQ 관리자에게 필요한 권한 부여

구성요소 작성 시 WebSphere MQ 관리자가 WebSphere MQ 패스를 실행하는 경우 관리자 사용자 ID에는 다음 권한이 필요합니다. 또는 WebSphere Message Broker 관리자에게 권한을 부여하여 WebSphere MQ 패스를 실행할 수 있습니다.
  • ALTER는 구성요소 PDSE로 액세스합니다.
  • 디렉토리 권한 부여:
    • <INSTPATH>에 대한 읽기/실행 액세스 권한. 여기서 <INSTPATH>는 SMP/E가 z/OSWebSphere Message Broker를 설치한 디렉토리입니다.
    • ++COMPONENTDIRECTORY++ 구성요소 디렉토리에 대한 읽기, 쓰기실행 액세스 권한
    • ++HOME++으로 식별되는 디렉토리로의 읽기/쓰기 액세스 권한.
WebSphere MQ 자원을 보호하려면 WebSphere MQ 보안을 사용하십시오. 모든 WebSphere MQ 보안 스위치가 사용 가능한 경우, WebSphere MQ 구성 작업을 실행하려면 다음 프로파일을 정의하고 WebSphere MQ 관리자에게 나열된 각 프로파일 액세스 권한을 부여하십시오. 나열된 각 프로파일 액세스에 대해 MQ_QMNAMEWebSphere Message Broker 구성요소가 연결된 WebSphere MQ 큐 관리자를 나타내고 MQADMINWebSphere MQ 관리자 ID를 나타냅니다.
  • 연결 보안: MQCONN 클래스의 <MQ_QMNAME>.BATCH 프로파일에 대한 읽기 액세스 권한. 예를 들면, 큐 관리자 MQP1WebSphere MQ 관리자 ID MQADMIN에 대해 다음 RACF 명령을 사용하십시오.
    RDEFINE MQCONN MQP1.BATCH UACC(NONE)
    PERMIT MQP1.BATCH CLASS(MQCONN) ID(MQADMIN) ACCESS(READ)
  • 큐 보안: 작성 또는 삭제된 구성요소 큐에 대해 MQQUEUE 클래스의 <MQ_QMNAME>.queue 프로파일에 대한 갱신 액세스 권한. 일반 프로파일 SYSTEM.BROKER.**를 작성할 수 있습니다. 예를 들면, 큐 관리자 MQP1WebSphere MQ 관리자 ID MQADMIN에 대해 다음의 RACF 명령을 사용하여 구성요소 큐에 대한 액세스를 제한하십시오.
    RDEFINE MQQUEUE MQP1.SYSTEM.BROKER.** UACC(NONE)
    PERMIT MQP1.SYSTEM.BROKER.** CLASS(MQQUEUE) ID(MQADMIN) ACCESS(UPDATE) 
  • 시스템 명령 서버: SYSTEM.COMMAND.**에 대해 MQQUEUE 클래스의 <MQ_QMNAME>.queue 프로파일에 대한 UPDATE 액세스 권한. 예를 들면, 큐 관리자 MQP1WebSphere MQ 관리자 ID MQADMIN에 대해 다음의 RACF 명령을 사용하여 시스템 명령 서버에 대한 액세스를 제한하십시오.
    RDEFINE MQQUEUE MQP1.SYSTEM.COMMAND.** UACC(NONE)
    PERMIT MQP1.SYSTEM.COMMAND.** CLASS(MQQUEUE) ID(MQADMIN) ACCESS(UPDATE) 
    작성/삭제 작업 중에 사용되는 일부 시스템 큐에 대해 MQQUEUE 클래스의 <MQ_QMNAME>.queue 프로파일에 대한 갱신 액세스 권한. 일반 프로파일 <MQ_QMNAME>.**을 작성할 수 있습니다.
  • 명령 보안:
    • 구성요소를 작성할 때 WebSphere MQ 전달을 실행하려면 다음이 필요합니다.
      • MQCMDS 클래스의 <MQ_QMNAME>.DEFINE.QLOCAL 에 대한 대체 액세스 권한
      • MQCMDS 클래스의 <MQ_QMNAME>.DEFINE.QMODEL에 대한 대체 액세스 권한
      • MQCMDS 클래스의 <MQ_QMNAME>.DEFINE.CHANNEL 에 대한 대체 액세스 권한
    • 구성요소를 삭제할 때 WebSphere MQ 전달을 실행하려면 다음이 필요합니다.
      • MQCMDS 클래스의 <MQ_QMNAME>.DELETE.QLOCAL에 대한 대체 액세스 권한
      • MQCMDS 클래스의 <MQ_QMNAME>.DELETE.QMODEL에 대한 대체 액세스 권한
      • MQCMDS 클래스의 <MQ_QMNAME>.DELETE.CHANNEL 에 대한 대체 액세스 권한
    큐 관리자 MQP1WebSphere MQ 관리자 ID MQADMIN에 대해 다음 RACF 명령을 사용하십시오. 변경 시작
    RDEFINE MQCMDS MQP1.DELETE.QLOCAL UACC(NONE)
    PERMIT MQP1.DELETE.QLOCAL CLASS(MQCMDS) ID(MQADMIN) ACCESS(ALTER)
    변경 끝
  • 자원 명령 보안: 작성되거나 삭제된 각 큐에 대해 MQADMIN 클래스의 MQP1.QUEUE.queue에 대한 대체 액세스 권한. 일반 프로파일 SYSTEM.BROKER.**를 작성할 수 있습니다. 예를 들어, 큐 관리자 MQP1WebSphere MQ 관리자 ID MQADMIN에 대해 다음 RACF 명령을 사용하십시오.
    RDEFINE MQADMIN MQP1.QUEUE.SYSTEM.BROKER.** UACC(NONE)
    PERMIT MQP1.SYSTEM.BROKER.** CLASS(MQADMIN) ID(MQADMIN) ACCESS(ALTER)
  • 프로세스 및 이름 목록 보안: 시스템에서 프로세스 및 이름 목록 보안에 대해 WebSphere MQ 보안 스위치가 사용 가능한 경우, WebSphere Message Broker 디폴트 구성에 액세스 프로파일을 정의할 필요가 없습니다.

RACF를 사용하여 WebSphere MQ 보안을 구현하는 방법에 대한 설명은 WebSphere MQ 설정을 참조하십시오.

DB2 서브시스템 시작 작업 사용자 ID에 필요한 권한 부여

DB2는 DB2_STOR_GROUP_VCAT 상위 레벨의 규정자를 사용하여 데이터 세트를 작성하므로 이 규정자에 지정된 카탈로그 값에 대한 대체 액세스 권한이 있어야 합니다.

관련 태스크
z/OS 보안 설정
주의사항 | 등록상표 | 다운로드 | 라이브러리 | 지원 | 피드백
Copyright IBM Corporation 1999, 2006 마지막 갱신 날짜: 2006/08/21
ae14040_