Resumen del acceso necesario (z/OS)

La siguiente información resume el acceso que requieren los profesionales de la organización.

Autorizaciones necesarias para el ID de usuario de tarea iniciada de WebSphere Message Broker

Las autorizaciones de directorio necesarias para todos los componentes son:
  • Acceso de lectura/ejecución (READ/EXECUTE) a <INSTPATH>, donde <INSTPATH> es el directorio donde SMP/E ha instalado WebSphere Message Broker para z/OS.
  • Acceso de lectura/escritura/ejecución (READ/WRITE/EXECUTE) al directorio del componente ++COMPONENTDIRECTORY++.
  • Acceso de lectura/escritura (READ/WRITE) al directorio inicial.
  • Acceso de lectura/escritura (READ/WRITE) al directorio identificado por ++HOME++.
  • En UNIX System Services, el ID de usuario de tarea iniciada y el ID de usuario del administrador de WebSphere Message Broker han de ser ambos miembros de los grupos que tienen acceso a los directorios de instalación y del componente, ya que ambos necesitan privilegios sobre éstos. El propietario de esos directorios ha de otorgar los privilegios oportunos a ese grupo.

Inicio del cambioLas siguientes autorizaciones de PDSE y DB2 sólo son necesarias para un componente de intermediario, es decir, no un Gestor de configuración o un Servidor de nombres de usuarioFin del cambio

Inicio del cambioSe necesita acceso de lectura (READ) al PDSE del componente.Fin del cambio

Se requieren autorizaciones de DB2 para el ID de usuario de tarea iniciada y el ID de propietario de tabla:
  • Si hay un perfil para db2subsystem.RRSAF en la clase DSNR, el ID de usuario de tarea iniciada necesita acceso al perfil. Por ejemplo, el siguiente mandato RACF indica si el perfil existe:
    RLIST  DSNR (DB2P.RRSAF) 
    y el siguiente mandato proporciona el acceso necesario:
    PERMIT  DB2P.RRSAF  CLASS(DSNR) ID(WQMITASK) ACCESS(READ)
  • Privilegio de selección (SELECT) sobre las tablas SYSIBM.SYSTABLES, SYSIBM.SYSSYNONYMS y SYSIBM.SYSDATABASE.
  • Privilegios de selección (SELECT), actualización (UPDATE), inserción (INSERT) y supresión (DELETE) sobre todas las tablas del sistema del intermediario.
  • DB2_TABLE_OWNER ha de ser un ID de autorización válido del ID de usuario de tarea iniciada.
  • Autorización de ejecución (EXECUTE) sobre el plan DSNACLI o equivalente para cada ID de usuario de tarea iniciada.

Autorizaciones de WebSphere MQ:

Habilite la seguridad de WebSphere MQ para proteger los recursos de WebSphere MQ. Si todos los conmutadores de seguridad de WebSphere MQ están habilitados, defina los siguientes perfiles y otorgue al ID de usuario de tarea iniciada el acceso listado a cada perfil. Para cada acceso de perfil listado, <MQ_QMNAME> representa el gestor de colas WebSphere MQ al que el componente WebSphere Message Broker está conectado, y TASKID representa el ID de usuario de tarea iniciada de WebSphere Message Broker.

  • Seguridad de conexión: acceso de lectura (READ) al perfil <MQ_QMNAME>.BATCH de la clase MQCONN. Por ejemplo, para el gestor de colas MQP1 y el ID de tarea iniciada, TASKID, utilice los mandatos RACF:
    RDEFINE
    MQCONN MQP1.BATCH UACC(NONE)
    PERMIT MQP1.BATCH CLASS(MQCONN) ID(TASKID) ACCESS(READ)
  • Seguridad de cola: acceso de actualización (UPDATE) al perfil <MQ_QMNAME>.queue de la clase MQQUEUE para todas las colas. Vea si es conveniente crear perfiles para las siguientes colas:
    • Todas las colas del componente que utilicen el perfil genérico SYSTEM.BROKER.**
    • Todas las colas de transmisión definidas entre gestores de colas del componente.
    • Todas las colas definidas en flujos de mensajes.
    • Colas de mensajes no entregados.
    Por ejemplo, para el gestor de colas MQP1 y el ID de tarea iniciada TASKID, use los siguientes mandatos RACF para limitar el acceso a las colas del componente:
    RDEFINE MQQUEUE MQP1.SYSTEM.BROKER.** UACC(NONE)
    PERMIT MQP1.SYSTEM.BROKER.** CLASS(MQQUEUE) ID(TASKID) ACCESS(UPDATE)
  • Seguridad de contexto: acceso de control (CONTROL) al perfil <MQ_QMNAME>.CONTEXT de la clase MQADMIN. Por ejemplo, para el gestor de colas MQP1 y el ID de tarea iniciada TASKID, utilice los siguientes mandatos RACF:
    RDEFINE MQADMIN MQP1.CONTEXT UACC(NONE)
    PERMIT MQP1.CONTEXT CLASS(MQADMIN) ID(TASKID) ACCESS(CONTROL)
  • Seguridad de usuario alternativo: Defina la autorización de usuario alternativo como: acceso de actualización (UPDATE) al perfil <MQ_QMNAME>.ALTERNATE.USER.id de la clase MQADMIN, donde id representa el ID de servicio del componente Gestor de configuración de Windows. Por ejemplo, para el gestor de colas MQP1, el ID de tarea iniciada TASKID y el ID de servicio de configuración CFGID, utilice los siguientes mandatos RACF:
    RDEFINE MQADMIN MQP1.ALTERNATE.USER.CFGID UACC(NONE)
    PERMIT MQP1.ALTERNATE.USER.CFGID  CLASS(MQADMIN) ID(TASKID) ACCESS(UPDATE) 
    Acceso de actualización (UPDATE) al perfil <MQ_QMNAME>.ALTERNATE.USER.id de la clase MQADMIN, donde id representa el ID de usuario de, por ejemplo, una petición de publicación/suscripción.
  • Seguridad de proceso y de lista de nombres; si tiene conmutadores de seguridad WebSphere MQ habilitados en el sistema para la seguridad del proceso y la lista de nombres, no es necesario que defina ningún perfil de acceso en una configuración por omisión de WebSphere Message Broker.
Para usuarios que se conectan de forma remota desde el Kit de herramientas de Message Brokers o desde una aplicación de Proxy del Gestor de configuración al Gestor de configuración en z/OS, se necesitan las autorizaciones siguientes:
  • Seguridad de conexión: acceso de lectura (READ) al perfil <MQ_QMNAME>.CHIN de la clase MQCONN. Por ejemplo, para el gestor de colas MQP1 y el ID de tarea iniciada TASKID, utilice los siguientes mandatos RACF:
    RDEFINE MQCONN MQP1.CHIN UACC(NONE)
    PERMIT MQP1.CHIN CLASS(MQCONN) ID(TASKID) ACCESS(READ)
  • Seguridad de usuario alternativo: Defina la autorización de usuario alternativo como: acceso de actualización (UPDATE) al perfil <MQ_QMNAME>.ALTERNATE.USER.id de la clase MQADMIN, donde id representa el ID de usuario del Kit de herramientas de Message Brokers o de la aplicación de Proxy del Gestor de configuración. Por ejemplo, para el gestor de colas MQP1, el ID de tarea iniciada TASKID y el ID de usuario USERID, utilice los siguientes mandatos RACF:
    RDEFINE MQADMIN MQP1.ALTERNATE.USER.USERID UACC(NONE)
    PERMIT MQP1.ALTERNATE.USER.USERID  CLASS(MQADMIN) ID(TASKID) ACCESS(UPDATE)

Autorizaciones necesarias para el administrador de WebSphere Message Broker

El administrador del intermediario necesita las siguientes autorizaciones:

  • Acceso de modificación (ALTER) para el PDSE del componente.
  • Acceso de lectura (READ), escritura (WRITE) y ejecución (EXECUTE) al directorio del componente ++COMPONENTDIRECTORY++.
  • Acceso de lectura/ejecución (READ/EXECUTE) a <INSTPATH>, donde <INSTPATH> es el directorio donde SMP/E ha instalado WebSphere Message Broker para z/OS.
  • Acceso de lectura/escritura (READ/WRITE) al directorio identificado por ++HOME++.
  • En UNIX System Services, el ID de usuario de tarea iniciada y el ID de usuario del administrador de WebSphere Message Broker han de ser ambos miembros de los grupos que tienen acceso a los directorios de instalación y del componente, ya que ambos necesitan privilegios sobre éstos. El propietario de esos directorios ha de otorgar los privilegios oportunos a ese grupo.
  • Para ejecutar la comprobación de DB2 al crear y suprimir componentes, se necesita autorización de DBADM para la base de datos de intermediario.

Autorizaciones necesarias para el administrador de DB2

El administrador de DB2 necesita tener las autorizaciones siguientes para ejecutar los trabajos de configuración de DB2 BIPCRDB y BIPDLDB:
  • Acceso de modificación (ALTER) para el PDSE del componente.
  • Autorizaciones de DB2: autorización SYSCTRL o SYSADM.
  • CREATE STOGROUP, CREATE DATABASE y CREATE TABLESPACEs.
  • DROP DATABASE y DROP STOGROUP.
Si el administrador de DB2 ejecuta la comprobación de DB2 al crear y suprimir un componente, el ID de usuario de administrador también necesita las autorizaciones siguientes. También puede otorgar autorización al administrador de WebSphere Message Broker para ejecutar la comprobación de DB2.
  • Acceso de lectura (READ), escritura (WRITE) y ejecución (EXECUTE) al directorio del componente ++COMPONENTDIRECTORY++.
  • Acceso de lectura/ejecución (READ/EXECUTE) a <INSTPATH>, donde <INSTPATH> es el directorio donde SMP/E ha instalado WebSphere Message Broker para z/OS.
  • Acceso de lectura/escritura (READ/WRITE) al directorio identificado por ++HOME++.
  • En UNIX System Services, el ID de usuario de tarea iniciada y el ID de usuario del administrador de WebSphere Message Broker han de ser ambos miembros de los grupos que tienen acceso a los directorios de instalación y del componente, ya que ambos necesitan privilegios sobre éstos. El propietario de esos directorios ha de otorgar los privilegios oportunos a ese grupo.

Autorizaciones necesarias para el administrador de WebSphere MQ

Si el administrador de WebSphere MQ ejecuta la comprobación de WebSphere MQ al crear un componente, el ID de usuario de administrador necesita las autorizaciones siguientes. De forma alternativa, puede otorgar autorización al administrador de WebSphere Message Broker para ejecutar la comprobación de WebSphere MQ.
  • Acceso de modificación (ALTER) para el PDSE del componente.
  • Autorizaciones de directorio:
    • Acceso de lectura/ejecución (READ/EXECUTE) a <INSTPATH>, donde <INSTPATH> es el directorio donde SMP/E ha instalado WebSphere Message Broker para z/OS.
    • Acceso de lectura (READ), escritura (WRITE) y ejecución (EXECUTE) al directorio del componente ++COMPONENTDIRECTORY++.
    • Acceso de lectura/escritura (READ/WRITE) al directorio identificado por ++HOME++.
Habilite la seguridad de WebSphere MQ para proteger los recursos de WebSphere MQ. Si todos los conmutadores de seguridad de WebSphere MQ están habilitados, defina los siguientes perfiles y otorgue al administrador de WebSphere MQ el acceso listado para cada perfil a fin de ejecutar los trabajos de configuración de WebSphere MQ. Para cada acceso de perfil listado, MQ_QMNAME> representa el gestor de colas WebSphere MQ al que el componente WebSphere Message Broker está conectado y MQADMIN representa el ID del administrador de WebSphere MQ:
  • Seguridad de conexión: acceso de lectura (READ) al perfil <MQ_QMNAME>.BATCH de la clase MQCONN. Por ejemplo, para el gestor de colas MQP1 y el ID del administrador de WebSphere MQ MQADMIN, use los siguientes mandatos RACF:
    RDEFINE
    MQCONN MQP1.BATCH UACC(NONE)
    PERMIT MQP1.BATCH CLASS(MQCONN) ID(MQADMIN) ACCESS(READ)
  • Seguridad de cola: acceso de actualización (UPDATE) al perfil <MQ_QMNAME>.queue de la clase MQQUEUE para las colas de componente creadas o suprimidas. Puede crear un perfil genérico SYSTEM.BROKER.** Por ejemplo, para el gestor de colas MQP1 y el ID de administrador de WebSphere MQ, MQADMIN, utilice los siguientes mandatos RACF para limitar el acceso a las colas del componente:
    RDEFINE MQQUEUE MQP1.SYSTEM.BROKER.** UACC(NONE)
    PERMIT MQP1.SYSTEM.BROKER.** CLASS(MQQUEUE) ID(MQADMIN) ACCESS(UPDATE) 
  • Servidor de mandatos del sistema: acceso de actualización (UPDATE) al perfil <MQ_QMNAME>.queue de la clase MQQUEUE para SYSTEM.COMMAND.**. Por ejemplo, para el gestor de colas MQP1 y el ID de administrador de WebSphere MQ MQADMIN, utilice los siguientes mandatos RACF para limitar el acceso al servidor de mandatos del sistema:
    RDEFINE MQQUEUE MQP1.SYSTEM.COMMAND.** UACC(NONE)
    PERMIT MQP1.SYSTEM.COMMAND.** CLASS(MQQUEUE) ID(MQADMIN) ACCESS(UPDATE) 
    Acceso de actualización (UPDATE) al perfil <MQ_QMNAME>.queue de la clase MQQUEUE para algunas colas del sistema utilizadas durante el trabajo de creación/supresión. Puede crear un perfil genérico <MQ_QMNAME>.**
  • Seguridad de mandatos
    • Para ejecutar la comprobación de WebSphere MQ al crear un componente, necesita:
      • Acceso de modificación (ALTER) a <MQ_QMNAME>.DEFINE.QLOCAL de la clase MQCMDS.
      • Acceso de modificación (ALTER) a <MQ_QMNAME>.DEFINE.QMODEL de la clase MQCMDS.
      • Acceso de modificación ALTER a <MQ_QMNAME>.DEFINE.CHANNEL de la clase MQCMDS.
    • Para ejecutar la comprobación de WebSphere MQ al suprimir un componente, necesita:
      • Acceso de modificación (ALTER) a <MQ_QMNAME>.DELETE.QLOCAL de la clase MQCMDS.
      • Acceso de modificación (ALTER) a <MQ_QMNAME>.DELETE.QMODEL de la clase MQCMDS.
      • Acceso de modificación (ALTER) a <MQ_QMNAME>.DELETE.CHANNEL de la clase MQCMDS.
    Para el gestor de colas MQP1 y el ID de administrador de WebSphere MQ, MQADMIN, use los siguientes mandatos RACF: Inicio del cambio
    RDEFINE MQCMDS MQP1.DELETE.QLOCAL UACC(NONE)
    PERMIT MQP1.DELETE.QLOCAL CLASS(MQCMDS) ID(MQADMIN) ACCESS(ALTER)
    Fin del cambio
  • Seguridad de mandatos de recursos: acceso de modificación (ALTER) a MQP1.QUEUE.cola de la clase MQADMIN para cada cola creada o suprimida. Puede crear un perfil genérico SYSTEM.BROKER.**. Por ejemplo, para el gestor de colas MQP1 y el ID de administrador de WebSphere MQ MQADMIN, use los mandatos RACF:
    RDEFINE MQADMIN MQP1.QUEUE.SYSTEM.BROKER.** UACC(NONE)
    PERMIT MQP1.SYSTEM.BROKER.** CLASS(MQADMIN) ID(MQADMIN) ACCESS(ALTER)
  • Seguridad de proceso y de lista de nombres; si tiene conmutadores de seguridad WebSphere MQ habilitados en el sistema para la seguridad del proceso y la lista de nombres, no es necesario que defina ningún perfil de acceso en una configuración por omisión de WebSphere Message Broker.

Si desea ver una descripción de la implementación de la seguridad de WebSphere MQ usando RACF, consulte el apartado Configuración de WebSphere MQ.

Autorizaciones necesarias para el ID de usuario de tarea iniciada del subsistema de DB2.

DB2 necesita acceso de modificación (ALTER) al valor de catálogo especificado en DB2_STOR_GROUP_VCAT debido a que crea conjuntos de datos con este calificador de alto nivel.

Avisos | Marcas registradas | Descargas | Biblioteca | Soporte | Su opinión
Copyright IBM Corporation 1999, 2006 Última actualización: 22/08/2006
ae14040_