设置 z/OS 安全性

WebSphere Message Broker 正常工作前,您需要完成某些安全性配置任务。本主题以及以下各主题描述了您需要遵循的步骤:

确定代理、配置管理器用户名称服务器的已启动任务的名称。 这些名称用于设置启动任务权限,并且可用于管理系统性能。

为您的 WebSphere Message Broker PDSE 确定数据集命名约定。典型的名称可能是 WMQI.MQP1BRK.CNTLMQS.MQP1UNS.BIPCNTL,在此 MQP1 是队列管理器名称。您需要给予 WebSphere Message BrokerWebSphere MQDB2z/OS 对于这些数据集的管理员访问权。您可以以不同的方式给予这些专业人员控制访问权,例如:
  • 给每个用户对于具体数据集个别的访问权。
  • 定义一般数据集概要文件,定义包含了管理员用户标识的组。对一般数据集概要文件授予组控制访问权。

如果您想要使用 Publish/Subscribe,请定义名称为 MQBRKRS 的组,并将启动任务用户标识连接到该组。为该组定义 OMVS 组段,如此用户名称服务器就可以从 “外部安全性管理器”(ESM)数据库中抽取信息,以使您可以使用 Publish/Subscribe 安全性。

每个代理需要一个唯一的标识以用于其 DB2 表。可以是:
  • 一个唯一的启动任务用户标识;您可以使用代理名作为启动任务用户标识。

    对于代理来说,是唯一的组(如 MQP1GRP),它定义了所有必要的 DB2 权限。代理启动的任务用户标识和 WebSphere Message Broker 管理员都是该组成员。

  • 一个共享的启动任务用户标识和一个唯一的指定于识别用于 ODBC 接口的 DB2 表的组。可以使用代理名作为组名称。
为启动任务用户标识定义一个 OMVS 段,并赋予其主目定义的 OMVS 段,并且其主目录必须有足够空间以用于任何 WebSphere Message Broker 转储。考虑使用启动任务过程名称作为启动任务用户标识。通过使用下列 TSO 命令,检查是否定义了 OMVS 段:
LU userid OMVS
该命令的输出包含了 OMVS 段,例如:
USER=MQP1BRK NAME=SMITH, JANE OWNER=TSOUSER
CREATED=99.342 DEFAULT-GROUP=TSOUSER PASSDATE=01.198
PASS-INTERVAL=30
......
OMVS INFORMATION
----------------
UID=0000070594
HOME=/u/MQP1BRK
PROGRAM=/bin/sh
CPUTIMEMAX=NONE
ASSIZEMAX=NONE
FILEPROCMAX=NONE
PROCUSERMAX=NONE
THREADSMAX=NONE
MMAPAREAMAX=NONE
命令:
df -P /u/MQP1BRK
显示了所使用的以及可用的空间数量量, 其中 /u/MQP1BRK 是来自从上述 HOME 中的值。该命令显示了在文件系统中有多少当前可用的空间。与数据管理员一起检查有足够空间。最少需要 400 000 可用块;这是进行转储所需要的空间。

关联要使用的用户标识与启动任务过程。例如,您可以使用 RACF® 中的 STARTED 类。WebSphere Message Brokerz/OS 管理员必须对启动任务的名称达成一致。

WebSphere Message Broker 管理员需要一个 OMVS 段和主目录。检查上述的设置。

启动任务用户标识和 WebSphere Message Broker 管理员需要有安装处理文件、组件具体文件、以及启动任务主目录的访问权。在定制期间,可以更改文件所有权以改变组访问权。这可能需要超级用户权限。

当服务用户标识为 root 时,由代理装入的所有库(包括所有用户编写的插件库和它们可能访问的所有共享库)也对所有系统资源(例如文件集)有 root 访问权。查看和评估授予该级别权限所涉及的风险。

有关安全性各方面的更多信息,请参阅安全性概述

相关概念
安全性概述
更新开始在 z/OS 上启用配置管理器以获取用户标识信息更新结束
相关任务
设置 DB2
设置 WebSphere MQ
在 z/OS 上设置工作台访问
创建Publish/Subscribe用户标识
相关参考
在 z/OS 上定制任务和角色
所需访问(z/OS)总结
声明 | 商标 | 下载 | 书库 | 支持 | 反馈
Copyright IBM Corporation 1999, 2006 最后一次更新时间:2006/08/14
ae14030_