Impostazione della sicurezza z/OS

È necessario completare alcune attività di configurazione della sicurezza prima che WebSphere Message Broker possa funzionare correttamente. I passi da effettuare sono descritti in questa sezione e nelle sezioni riportate di seguito:

Decidere i nomi dell'attività avviata del broker, del Gestione configurazione e del Server nomi utente. Tali nomi vengono utilizzati per impostare le autorizzazioni dell'attività avviata e per gestire le prestazioni del sistema.

Decidere una convenzione di denominazione dell'insieme di dati per i propri PDSE di WebSphere Message Broker. Un nome tipico potrebbe essere WMQI.MQP1BRK.CNTL oppure MQS.MQP1UNS.BIPCNTL, dove MQP1 è il nome del gestore code. E' necessario fornire agli amministratori di WebSphere Message Broker, WebSphere MQ, DB2 e z/OS l'accesso a tali insiemi di dati. E' possibile fornire l'accesso in diversi modi, ad esempio:
  • Fornire a ciascun utente l'accesso individuale all'insieme di dati specifico.
  • Definire un profilo dell'insieme di dati generico, definendo un gruppo che contiene gli ID utente degli amministratori. Concedere al gruppo l'accesso al profilo dell'insieme di dati generico.

Se si desidera utilizzare Pubblicazione/Sottoscrizione, definire un gruppo denominato MQBRKRS e collegare gli ID utente dell'attività avviata a tale gruppo. Definire un segmento di gruppo OMVS per questo gruppo in modo che il Server nomi utente possa estrarre le informazioni dal database ESM (External Security Manager) per consentire di utilizzare la sicurezza Pubblicazione/Sottoscrizione.

Per ciascun broker è necessario un ID univoco per le relative tabelle DB2. Questo può essere:
  • Un ID utente dell'attività avviata univoco; è possibile utilizzare il nome del broker come ID utente dell'attività avviata.

    Un gruppo univoco per il broker (ad esempio, MQP1GRP) con tutte le autorizzazioni DB2 necessarie. L'ID utente dell'attività avviata del broker e l'amministratore di WebSphere Message Broker sono entrambi membri di questo gruppo.

  • Un ID utente dell'attività avviata condiviso ed un gruppo univoco specificato per identificare le tabelle DB2 da utilizzare con l'interfaccia ODBC. Utilizzare il nome del broker come nome del gruppo.
Definire un segmento OMVS per l'ID utente dell'attività avviata ed assegnare alla relativa directory home spazio sufficiente per eventuali dump WebSphere Message Broker. Considerare l'utilizzo del nome della procedura dell'attività avviata come ID utente dell'attività avviata. Verificare che il segmento OMVS sia definito utilizzando il seguente comando TSO:
LU userid OMVS
L'output del comando include il segmento OMVS, ad esempio:
USER=MQP1BRK NAME=SMITH, JANE OWNER=TSOUSER
CREATED=99.342 DEFAULT-GROUP=TSOUSER PASSDATE=01.198
PASS-INTERVAL=30
......
OMVS INFORMATION
----------------
UID=0000070594
HOME=/u/MQP1BRK
PROGRAM=/bin/sh
CPUTIMEMAX=NONE
ASSIZEMAX=NONE
FILEPROCMAX=NONE
PROCUSERMAX=NONE
THREADSMAX=NONE
MMAPAREAMAX=NONE
Il comando:
df -P /u/MQP1BRK
visualizza la quantità di spazio utilizzato e disponibile, dove /u/MQP1BRK è il valore da HOME nell'esempio precedente. Questo comando indica la quantità di spazio attualmente disponibile nel file system. Verificare con gli amministratori dei dati che tale spazio sia sufficiente. Sono necessari almeno 400000 blocchi liberi; questa quantità è necessaria se viene eseguito un dump.

Associare la procedura dell'attività avviata con l'ID utente da utilizzare. Ad esempio, è possibile utilizzare la classe STARTED in RACF. Gli amministratori di WebSphere Message Broker e z/OS devono concordare il nome dell'attività avviata.

Per gli amministratori WebSphere Message Broker sono necessari un segmento OMVS ed una directory home. Controllare l'impostazione descritta in precedenza.

Gli ID utente dell'attività avviata e gli amministratori di WebSphere Message Broker devono accedere ai file di elaborazione dell'installazione, ai file specifici del componente ed alla directory home dell'attività avviata. Durante la personalizzazione, è possibile modificare l'appartenenza dei file per modificare l'accesso del gruppo. Questa operazione potrebbe richiedere l'autorizzazione superuser.

Quando l'ID utente servizio è root, tutte le librerie caricate dal broker, incluse tutte le librerie di plug-in scritte dall'utente e tutte le librerie condivise a cui possono accedere, hanno accesso root a tutte le risorse di sistema (ad esempio, fileset). Valutare il rischio che potrebbe comportare questo livello di autorizzazione.

Per ulteriori informazioni relative ai diversi aspetti della sicurezza, consultare Panoramica relativa alla sicurezza.

Concetti correlati
Panoramica relativa alla sicurezza
Inizio modificaAbilitazione di Gestione configurazione su z/OS per ottenere le informazioni sull'ID utenteFine modifica
Attività correlate
Impostazione di DB2
Impostazione di WebSphere MQ
Impostazione dell'accesso al workbench in z/OS
Creazione di ID utente Pubblicazione/Sottoscrizione
Riferimenti correlati
Personalizzazione di attività e ruoli in z/OS
Riepilogo dell'accesso richiesto (z/OS)
Informazioni particolari | Marchi | Download | Libreria | Supporto | Commenti
Copyright IBM Corporation 1999, 2006 Ultimo aggiornamento: ago 17, 2006
ae14030_