所需访问(z/OS)总结

下列信息总结了组织中专业人员所需的访问。

WebSphere Message Broker 启动任务用户标识所需的权限

所有组件所需的目录权限是:
  • <INSTPATH>读/执行访问权,其中 <INSTPATH> 是通过 SMP/E 安装了 WebSphere Message Broker for z/OS 的目录。
  • 对组件目录 ++COMPONENTDIRECTORY++读/写/执行访问权。
  • 对主目录的读/写访问权。
  • ++HOME++ 标识的对目录的 READ/WRITE 访问
  • UNIX System Services中,启动任务用户标识和 WebSphere Message Broker 管理员用户标识都必须是有权访问安装和组件目录的组的成员,因为它们都需要访问这些目录的特权。这些目录的所有者需要给予该组相应的许可权。

更新开始仅代理组件需要以下 PDSE 和 DB2 权限,即配置管理器用户名称服务器不需要它们更新结束

更新开始对于组件 PDSE 的权限是必需的。更新结束

需要启动任务用户标识和表所有者标识的 DB2 权限:
  • 如果在 DSNR 类中的 db2subsystem.RRSAF 有一个对应的概要文件,则启动任务用户标识需要对该概要文件的访问权。例如,以下 RACF 命令显示概要文件是否存在:
    RLIST  DSNR (DB2P.RRSAF) 
    而以下命令给定必需访问权:
    PERMIT  DB2P.RRSAF  CLASS(DSNR) ID(WQMITASK)  ACCESS(READ)
  • 对表 SYSIBM.SYSTABLES、SYSIBM.SYSSYNONYMS 和 SYSIBM.SYSDATABASE 有 选择的特权。
  • 对所有代理系统表具有选择更新插入删除的特权。
  • DB2_TABLE_OWNER 必须是启动任务用户标识的有效授权标识。
  • 对于 DSNACLI 计划的执行权限,或启动的任务用户标识的等价权限。

WebSphere MQ 权限:

启用 WebSphere MQ 安全性来保护您的 WebSphere MQ 资源。 如果启用所有 WebSphere MQ 安全性开关,则定义以下概要文件并给启动任务用户标识以对每个概要文件列出的访问权。对于列出的每个概要文件权限,<MQ_QMNAME> 表示 WebSphere Message Broker 组件连接的 WebSphere MQ 队列管理器,TASKID 表示 WebSphere Message Broker 启动的任务的用户标识。

  • 连接安全性:对 MQCONN 类的 <MQ_QMNAME>.BATCH 概要文件的访问权。例如,对于队列管理器 MQP1 和启动任务标识 TASKID,使用 RACF 命令:
    RDEFINE MQCONN MQP1.BATCH UACC(NONE)
    PERMIT MQP1.BATCH CLASS(MQCONN) ID(TASKID) ACCESS(READ)
  • 队列安全性:对于所有队列,对 MQQUEUE 类的概要文件 <MQ_QMNAME>.queue更新访问权。考虑为以下队列创建概要文件:
    • 所有使用一般概要文件 SYSTEM.BROKER.** 的组件队列
    • 在组件队列管理器之间定义的任何传输队列。
    • 在消息流中定义的任何队列。
    • 死信队列。
    例如,对于队列管理器 MQP1 和启动任务标识 TASKID,使用以下 RACF 命令限制对组件队列的访问:
    RDEFINE MQQUEUE MQP1.SYSTEM.BROKER.** UACC(NONE)
    PERMIT MQP1.SYSTEM.BROKER.** CLASS(MQQUEUE) ID(TASKID) ACCESS(UPDATE)
  • 上下文安全性:对类 MQADMIN 的概要文件 <MQ_QMNAME>.CONTEXT控制权限。例如,对于队列管理器 MQP1 和启动任务标识 TASKID,使用以下 RACF 命令:
    RDEFINE MQADMIN MQP1.CONTEXT UACC(NONE)
    PERMIT MQP1.CONTEXT CLASS(MQADMIN) ID(TASKID) ACCESS(CONTROL)
  • 备用用户安全性:将备用用户权限定义为:对类 MQADMIN 的概要文件 <MQ_QMNAME>.ALTERNATE.USER.id更新权限,其中 id 表示 Windows 配置管理器 组件的服务标识。例如,对于队列管理器 MQP1 和启动任务标识 TASKID 以及配置服务标识 CFGID,使用下列 RACF 命令:
    RDEFINE MQADMIN MQP1.ALTERNATE.USER.CFGID UACC(NONE)
    PERMIT MQP1.ALTERNATE.USER.CFGID  CLASS(MQADMIN) ID(TASKID) ACCESS(UPDATE) 
    对类 MQADMIN 的概要文件 <MQ_QMNAME>.ALTERNATE.USER.id更新权限,其中 id 代表,例如,“发布/预订”请求的用户标识。
  • 进程和名称列表安全性:如果您在系统中为进程和名称列表安全性启用了 WebSphere MQ 安全性开关,则在 WebSphere Message Broker 缺省配置中不需要定义任何访问概要文件。
对于从Message Brokers Toolkit配置管理器代理应用程序远程连接到 z/OS 上的配置管理器的用户,需要以下权限:
  • 连接安全性:对 MQCONN 类的概要文件 <MQ_QMNAME>.CHIN权限。例如,对于队列管理器 MQP1 和启动任务标识 TASKID,使用以下 RACF 命令:
    RDEFINE MQCONN MQP1.CHIN UACC(NONE)
    PERMIT MQP1.CHIN CLASS(MQCONN) ID(TASKID) ACCESS(READ)
  • 备用用户安全性:将备用用户权限定义为:对类 MQADMIN 的概要文件 <MQ_QMNAME>.ALTERNATE.USER.id更新权限,其中 id 表示Message Brokers Toolkit配置管理器代理 应用程序的用户标识。例如,对于队列管理器 MQP1 和启动任务标识 TASKID 以及用户标识 USERID,使用下列 RACF 命令:
    RDEFINE MQADMIN MQP1.ALTERNATE.USER.USERID UACC(NONE)
    PERMIT MQP1.ALTERNATE.USER.USERID  CLASS(MQADMIN) ID(TASKID) ACCESS(UPDATE)

WebSphere Message Broker 管理员所需的权限

代理管理员需要以下权限:

  • 对于组件 PDSE 的更改权限。
  • 对组件目录++COMPONENTDIRECTORY++执行访问权。
  • <INSTPATH>读/执行访问权,其中 <INSTPATH> 是通过 SMP/E 安装了 WebSphere Message Broker for z/OS 的目录。
  • ++HOME++ 标识的对目录的 READ/WRITE 访问
  • UNIX System Services中,启动任务用户标识和 WebSphere Message Broker 管理员用户标识都必须是有权访问安装和组件目录的组的成员,因为它们都需要访问这些目录的特权。这些目录的所有者需要给予该组相应的许可权。
  • 要在创建和删除组件时运行 DB2 传送,需要代理数据库的 DBADM 权限。

DB2 管理员所需的权限

DB2 管理员需要拥有下列权限来运行 DB2 配置作业 BIPCRDBBIPDLDB
  • 对于组件 PDSE 的更改权限。
  • DB2 权限:SYSCTRLSYSADM 权限。
  • CREATE STOGROUPCREATE DATABASECREATE TABLESPACEs
  • DROP DATABASEDROP STOGROUP
如果 DB2 管理员在创建和删除组件时运行 DB2 pass,则管理员用户标识还需要以下权限。或者,您可以向 WebSphere Message Broker 管理员授权以运行 DB2 关口。
  • 对组件目录 ++COMPONENTDIRECTORY++执行访问权。
  • <INSTPATH>读/执行访问权,其中 <INSTPATH> 是通过 SMP/E 安装了 WebSphere Message Broker for z/OS 的目录。
  • ++HOME++ 标识的对目录的 READ/WRITE 访问
  • UNIX System Services中,启动任务用户标识和 WebSphere Message Broker 管理员用户标识都必须是有权访问安装和组件目录的组的成员,因为它们都需要访问这些目录的特权。这些目录的所有者需要给予该组相应的许可权。

WebSphere MQ 管理员所需的权限

如果 WebSphere MQ 管理员在创建组件时运行 WebSphere MQ pass,则管理员用户标识需要以下权限:或者,对于 WebSphere MQ,您可以向 WebSphere Message Broker 管理员授权来运行 WebSphere MQ pass。
  • 对于组件 PDSE 的更改权限。
  • 目录权限:
    • <INSTPATH>读/执行访问权,其中 <INSTPATH> 是通过 SMP/E 安装了 WebSphere Message Broker for z/OS 的目录。
    • 对组件目录 ++COMPONENTDIRECTORY++执行访问权。
    • ++HOME++ 标识的对目录的 READ/WRITE 访问
启用 WebSphere MQ 安全性来保护您的 WebSphere MQ 资源。 如果启用所有 WebSphere MQ 安全性开关,则定义以下概要文件并给WebSphere MQ 管理员每个概要文件所列出的访问权,以便运行WebSphere MQ配置作业。对于列出的每个概要文件访问权,MQ_QMNAME> 表示 WebSphere Message Broker 组件连接的 WebSphere MQ 队列管理器,而 MQADMIN 表 示WebSphere MQ 管理员标识。
  • 连接安全性:对 MQCONN 类的 <MQ_QMNAME>.BATCH 概要文件的访问权。对于队列管理器 MQP1WebSphere MQ 管理员标识 MQADMIN,使用下列 RACF 命令:
    RDEFINE MQCONN MQP1.BATCH UACC(NONE)
    PERMIT MQP1.BATCH CLASS(MQCONN) ID(MQADMIN) ACCESS(READ)
  • 队列安全性:对于创建或删除的组件队列,对类 MQQUEUE 的概要文件 <MQ_QMNAME>.queue更新权限。您可以创建一个一般概要文件 SYSTEM.BROKER.**。对于队列管理器 MQP1WebSphere MQ 管理员标识 MQADMIN,使用以下 RACF 命令限制对组件队列的访问:
    RDEFINE MQQUEUE MQP1.SYSTEM.BROKER.** UACC(NONE)
    PERMIT MQP1.SYSTEM.BROKER.** CLASS(MQQUEUE) ID(MQADMIN) ACCESS(UPDATE)
  • 系统命令服务器:对于 SYSTEM.COMMAND.**,对类 MQQUEUE 的概要文件 <MQ_QMNAME>.queue更新权限。例如,对于队列管理器 MQP1WebSphere MQ 管理员标识 MQADMIN,使用以下 RACF 命令限制对系统命令服务器的访问:
    RDEFINE MQQUEUE MQP1.SYSTEM.COMMAND.** UACC(NONE)
    PERMIT MQP1.SYSTEM.COMMAND.** CLASS(MQQUEUE) ID(MQADMIN) ACCESS(UPDATE) 
    对于创建/删除作业执行期间使用的某些系统队列,对类 MQQUEUE 的概要文件 <MQ_QMNAME>.queue更新权限。您可以创建一般概要文件 <MQ_QMNAME>.**
  • 命令安全性:
    • 要在创建组件时运行 WebSphere MQ 传送,您需要:
      • MQCMDS<MQ_QMNAME>.DEFINE.QLOCAL更改权限。
      • MQCMDS<MQ_QMNAME>.DEFINE.QMODEL更改权限。
      • MQCMDS<MQ_QMNAME>.DEFINE.CHANNEL更改权限。
    • 要在删除组件时运行 WebSphere MQ 传送,您需要:
      • MQCMDS<MQ_QMNAME>.DELETE.QLOCAL更改权限。
      • MQCMDS<MQ_QMNAME>.DELETE.QMODEL更改权限。
      • MQCMDS<MQ_QMNAME>.DELETE.CHANNEL更改权限。
    对于队列管理器 MQP1WebSphere MQ 管理员标识 MQADMIN,使用下列 RACF 命令:更新开始
    RDEFINE MQCMDS MQP1.DELETE.QLOCAL UACC(NONE)
    PERMIT MQP1.DELETE.QLOCAL CLASS(MQCMDS) ID(MQADMIN) ACCESS(ALTER)
    更新结束
  • 资源命令安全性:对于每个已创建或已删除的队列,需要对类 MQADMINMQP1.QUEUE.queue更改访问权。可以创建类属概要文件 SYSTEM.BROKER.**。例如,对于队列管理器 MQP1WebSphere MQ 管理员标识 MQADMIN,使用 RACF 命令:
    RDEFINE MQADMIN MQP1.QUEUE.SYSTEM.BROKER.** UACC(NONE)
    PERMIT MQP1.SYSTEM.BROKER.** CLASS(MQADMIN) ID(MQADMIN) ACCESS(ALTER)
  • 进程和名称列表安全性:如果您在系统中为进程和名称列表安全性启用了 WebSphere MQ 安全性开关,则在 WebSphere Message Broker 缺省配置中不需要定义任何访问概要文件。

关于如何使用 RACF 实现 WebSphere MQ 安全性的描述,请参阅设置 WebSphere MQ

DB2 子系统启动任务用户标识所需的权限

DB2 对于指定在 DB2_STOR_GROUP_VCAT 中的目录值需要更改 访问权,因为它使用该高级别的限定符来创建数据集。

相关任务
设置 z/OS 安全性
声明 | 商标 | 下载 | 书库 | 支持 | 反馈
Copyright IBM Corporation 1999, 2006 最后一次更新时间:2006/08/14
ae14040_