z/OS 보안 설정

WebSphere Message Broker가 올바르게 작동하려면 일부 보안 구성 작업을 완료해야 합니다. 수행해야 하는 단계는 이 주제와 다음 주제에 설명되어 있습니다.

브로커, 구성 관리자사용자 이름 서버의 시작 작업 이름을 결정하십시오. 이 이름은 시작 작업의 권한 부여를 설정하고 시스템 성능을 관리하는 데 사용됩니다.

WebSphere Message Broker PDSE에 대한 데이터 세트 이름 지정 규칙을 결정하십시오. 일반적인 이름은 WMQI.MQP1BRK.CNTL 또는 MQS.MQP1UNS.BIPCNTL일 수 있습니다. 여기서, MQP1은 큐 관리자의 이름입니다. WebSphere Message Broker, WebSphere MQ, DB2z/OS 관리자에게 이러한 데이터에 대한 액세스 권한을 부여해야 합니다. 이러한 전문가에게 여러 방식으로 제어 액세스를 부여할 수 있습니다. 예를 들면, 다음과 같습니다.
  • 각 사용자에게 특정 데이터 세트에 대한 액세스를 개별적으로 부여합니다.
  • 일반 데이터 세트 프로파일을 정의하여 관리자의 사용자 ID를 포함하는 그룹을 정의합니다. 일반 데이터 세트 프로파일에 대한 그룹 제어 액세스를 부여합니다.

Publish/Subscribe를 사용하려면, MQBRKRS라는 그룹을 정의하고 이 그룹에 시작 작업 사용자 ID를 연결하십시오. 사용자 이름 서버가 외부 보안 관리자(ESM) 데이터베이스에서 정보를 추출하여 사용자가 Publish/Subscribe 보안을 사용할 수 있도록 OMVS 그룹 세그먼트를 정의하십시오.

각 브로커에는 브로커의 DB2 테이블에 대한 고유 ID가 필요합니다. 이는 다음과 같습니다.
  • 고유한 시작 작업 사용자 ID. 브로커 이름을 시작 작업 사용자 ID로 사용할 수 있습니다.

    필요한 모든 DB2 권한을 정의한 브로커(예: MQP1GRP)의 고유 그룹. 브로커 시작 작업 사용자 ID 및 WebSphere Message Broker 관리자 모두 이 그룹의 구성원입니다.

  • ODBC 인터페이스에서 사용할 DB2 테이블을 식별하기 위해 지정한 고유 그룹 및 공유 시작 작업 사용자 ID. 브로커 이름을 그룹 이름으로 사용하십시오.
시작 작업 사용자 ID에 OMVS 세그먼트를 정의하고 홈 디렉토리에 WebSphere Message Broker 덤프를 넣을 수 있는 충분한 공간을 제공하십시오. 시작 작업 프로시저 이름을 시작 작업 사용자 ID로 사용하십시오. 다음 TSO 명령을 사용하여 OMVS 세그먼트가 정의되어 있는지 확인하십시오.
LU userid OMVS
명령 출력에는 다음과 같은 OMVS 세그먼트가 포함됩니다.
USER=MQP1BRK NAME=SMITH, JANE OWNER=TSOUSER
CREATED=99.342 DEFAULT-GROUP=TSOUSER PASSDATE=01.198
PASS-INTERVAL=30
......
OMVS INFORMATION
----------------
UID=0000070594
HOME=/u/MQP1BRK
PROGRAM=/bin/sh
CPUTIMEMAX=NONE
ASSIZEMAX=NONE
FILEPROCMAX=NONE
PROCUSERMAX=NONE
THREADSMAX=NONE
MMAPAREAMAX=NONE
명령은 다음과 같습니다.
df -P /u/MQP1BRK
사용된 공간 크기 및 사용 가능한 크기를 표시합니다. 여기서, /u/MQP1BRK는 위의 HOME에서 가져온 값입니다. 이 명령은 현재 파일 시스템에서 사용 가능한 공간 크기를 표시합니다. 데이터 관리자에게 문의하여 크기가 충분한지 확인하십시오. 최소 400 000개의 블록이 사용 가능해야 하며, 이는 덤프를 취할 때 필요합니다.

시작된 작업 프로시저를 사용할 사용자 ID와 연관시키십시오. 예를 들면, RACF®에서 STARTED 클래스를 사용할 수 있습니다. WebSphere Message Brokerz/OS 관리자가 시작 작업의 이름에 동의해야 합니다.

WebSphere Message Broker 관리자에게는 OMVS 세그먼트와 홈 디렉토리가 있어야 합니다. 위에 설명된 설정을 확인하십시오.

시작 작업 사용자 ID와 WebSphere Message Broker 관리자는 설치 처리 파일, 구성요소 특정 파일 및 시작 작업의 홈 디렉토리에 대한 액세스 권한이 필요합니다. 사용자 정의 중에 파일 소유권을 변경하여 그룹 액세스를 수정할 수 있습니다. 그러기 위해 super user 권한이 필요할 수 있습니다.

서비스 사용자 ID가 root인 경우, 사용자 작성 플러그인 라이브러리 및 액세스할 수 있는 모든 공유 라이브러리를 포함하여 브로커가 로드한 모든 라이브러리에도 모든 시스템 자원(예: 파일 세트)에 대한 루트 액세스 권한이 부여됩니다. 이 레벨의 권한을 부여할 때는 반드시 권한 부여에 따르는 위험을 검토하고 평가해야 합니다.

다양한 측면의 보안에 대한 자세한 정보는 보안 개요를 참조하십시오.

관련 개념
보안 개요
변경 시작z/OS에서 구성 관리자가 사용자 ID 정보 확보변경 끝
관련 태스크
DB2 설정
WebSphere MQ 설정
z/OS에서 Workbench 설정
Publish/Subscribe 사용자 ID 작성
관련 참조
z/OS에서 작업 및 역할 사용자 정의
필수 액세스 요약(z/OS)
주의사항 | 등록상표 | 다운로드 | 라이브러리 | 지원 | 피드백
Copyright IBM Corporation 1999, 2006 마지막 갱신 날짜: 2006/08/21
ae14030_