必須アクセスの要約 (z/OS)

次の情報は、組織内の専門家が必要とするアクセスを要約しています。

WebSphere Message Broker 開始済みタスク・ユーザー ID に必要な許可

すべてのコンポーネントに必要なディレクトリー許可は以下のとおりです。
  • <INSTPATH> への READ/EXECUTE アクセス。<INSTPATH> は、WebSphere Message Broker for z/OS が SMP/E によってインストールされたディレクトリーです。
  • コンポーネント・ディレクトリー ++COMPONENTDIRECTORY++ への READ/WRITE/EXECUTE アクセス。
  • ホーム・ディレクトリーへの READ/WRITE アクセス。
  • ++HOME++ で示されるディレクトリーへの READ/WRITE アクセス。
  • UNIX システム・サービスでは、開始済みタスク・ユーザー ID および WebSphere Message Broker 管理者ユーザー ID の両方が、インストールおよびコンポーネント・ディレクトリーにアクセスできるグループのメンバーであることが必要です。 これは、両方ともこれらのディレクトリーを扱う特権が必要であるためです。 これらのディレクトリーの所有者は、このグループに適切な許可を与える必要があります。

変更の始まり以下の PDSE および DB2 許可はブローカー・コンポーネントでのみ必要です。つまり、構成マネージャーユーザー・ネーム・サーバーでは必要ではありません。変更の終わり

変更の始まりコンポーネント PDSE への READ アクセスが必要です。変更の終わり

開始済みタスク・ユーザー ID および表所有者 ID 用の DB2 許可が必要です。
  • DSNR クラスに db2subsystem.RRSAF のプロファイルがある場合、開始済みタスク・ユーザー ID はプロファイルへのアクセス権が必要です。 例えば、次の RACF コマンドは、プロファイルが存在するかどうかを示します。
    RLIST  DSNR (DB2P.RRSAF) 
    次のコマンドは必要なアクセスを付与します。
    PERMIT  DB2P.RRSAF  CLASS(DSNR) ID(WQMITASK)  ACCESS(READ)
  • 表 SYSIBM.SYSTABLES、SYSIBM.SYSSYNONYMS、および SYSIBM.SYSDATABASE 上の SELECT 特権。
  • すべてのブローカー・システム表上の SELECTUPDATEINSERT、および DELETE 特権。
  • DB2_TABLE_OWNER は、開始済みタスク・ユーザー ID の有効な許可 ID でなければなりません。
  • DSNACLI 計画の EXECUTE 権限、または開始済みタスク・ユーザー ID に相当する権限。

WebSphere MQ 許可:

WebSphere MQ リソースを保護するため、WebSphere MQ セキュリティーを使用可能にします。 すべての WebSphere MQ セキュリティー・スイッチが使用可能な場合、次のプロファイルを定義し、開始済みタスク・ユーザー IDに、各プロファイルへのリストされるアクセスを付与します。リストされる各プロファイル・アクセスでは、<MQ_QMNAME> は、WebSphere Message Broker コンポーネントが接続される WebSphere MQ キュー・マネージャーを、TASKID は、WebSphere Message Broker 開始タスクのユーザー ID を表わします。

  • 接続セキュリティー: クラス MQCONN のプロファイル <MQ_QMNAME>.BATCH への READ アクセス。 例えば、キュー・マネージャー MQP1 および開始済みタスク ID TASKID には、次のように RACF コマンドを使用します。
    RDEFINE MQCONN MQP1.BATCH UACC(NONE)
    PERMIT MQP1.BATCH CLASS(MQCONN) ID(TASKID) ACCESS(READ)
  • キュー・セキュリティー: すべてのキューのクラス MQQUEUE のプロファイル <MQ_QMNAME>.queue への UPDATE アクセス。 次のキューでのプロファイル作成を考慮します。
    • 総称プロファイル SYSTEM.BROKER.** を使用するすべてのコンポーネント・キュー
    • コンポーネント・キュー・マネージャー間で定義される伝送キュー
    • メッセージ・フローで定義されるキュー
    • デッド・レター・キュー
    例えば、キュー・マネージャー MQP1 および開始済みタスク ID TASKID には、次のように RACF コマンドを使用して、コンポーネント・キューへのアクセスを制限します。
    RDEFINE MQQUEUE MQP1.SYSTEM.BROKER.** UACC(NONE)
    PERMIT MQP1.SYSTEM.BROKER.** CLASS(MQQUEUE) ID(TASKID) ACCESS(UPDATE)
  • コンテキスト・セキュリティー: クラス MQADMIN のプロファイル <MQ_QMNAME>.CONTEXT への CONTROL アクセス。 例えば、キュー・マネージャー MQP1 および開始済みタスク ID TASKID には、次の RACF コマンドを使用します。
    RDEFINE MQADMIN MQP1.CONTEXT UACC(NONE)
    PERMIT MQP1.CONTEXT CLASS(MQADMIN) ID(TASKID) ACCESS(CONTROL)
  • 代替ユーザー・セキュリティー: 次のように代替ユーザー権限を定義します。 クラス MQADMIN のプロファイル <MQ_QMNAME>.ALTERNATE.USER.id への UPDATE アクセス。id は、Windows 構成マネージャー・コンポーネントのサービス ID を表します。例えば、キュー・マネージャー MQP1、開始済みタスク ID TASKID および構成サービス ID CFGID には、次の RACF コマンドを使用します。
    RDEFINE MQADMIN MQP1.ALTERNATE.USER.CFGID UACC(NONE)
    PERMIT MQP1.ALTERNATE.USER.CFGID  CLASS(MQADMIN) ID(TASKID) ACCESS(UPDATE) 
    クラス MQADMIN のプロファイル <MQ_QMNAME>.ALTERNATE.USER.id への UPDATE アクセス。 id は、パブリッシュ/サブスクライブ要求など、要求のユーザー ID を表します。
  • プロセスおよび名前リスト・セキュリティー: WebSphere MQ セキュリティー・スイッチをシステムのプロセスおよび名前リスト・セキュリティーで使用可能にしている場合、WebSphere Message Broker デフォルト構成でアクセス・プロファイルを定義する必要はありません。
Message Brokers Toolkit または 構成マネージャー・プロキシー アプリケーションのいずれかから、z/OS 上の構成マネージャーにリモートで接続中のユーザーについては、次の権限が必要です。
  • 接続セキュリティー: クラス MQCONN のプロファイル <MQ_QMNAME>.CHIN への READ アクセス。例えば、キュー・マネージャー MQP1 および開始済みタスク ID TASKID には、次の RACF コマンドを使用します。
    RDEFINE MQCONN MQP1.CHIN UACC(NONE)
    PERMIT MQP1.CHIN CLASS(MQCONN) ID(TASKID) ACCESS(READ)
  • 代替ユーザー・セキュリティー: 次のように代替ユーザー権限を定義します。 クラス MQADMIN のプロファイル <MQ_QMNAME>.ALTERNATE.USER.id への UPDATE アクセス。id は、Message Brokers Toolkit または構成マネージャー・プロキシー・アプリケーションのユーザー ID を表します。 例えば、キュー・マネージャー MQP1、開始済みタスク ID TASKID、およびユーザー ID USERID には、次の RACF コマンドを使用します。
    RDEFINE MQADMIN MQP1.ALTERNATE.USER.USERID UACC(NONE)
    PERMIT MQP1.ALTERNATE.USER.USERID  CLASS(MQADMIN) ID(TASKID) ACCESS(UPDATE)

WebSphere Message Broker 管理者に必要な許可

ブローカー管理者には以下の権限が必要です。

  • コンポーネント PDSE への ALTER アクセス。
  • コンポーネント・ディレクトリー ++COMPONENTDIRECTORY++ への READWRITE、および EXECUTE アクセス。
  • <INSTPATH> への READ/EXECUTE アクセス。<INSTPATH> は、WebSphere Message Broker for z/OS が SMP/E によってインストールされたディレクトリーです。
  • ++HOME++ で示されるディレクトリーへの READ/WRITE アクセス。
  • UNIX システム・サービスでは、開始済みタスク・ユーザー ID および WebSphere Message Broker 管理者ユーザー ID の両方が、インストールおよびコンポーネント・ディレクトリーにアクセスできるグループのメンバーであることが必要です。 これは、両方ともこれらのディレクトリーを扱う特権が必要であるためです。 これらのディレクトリーの所有者は、このグループに適切な許可を与える必要があります。
  • コンポーネントを作成および削除するときに DB2 パスを実行するには、ブローカー・データベース用の DBADM 権限が必要です。

DB2 管理者に必要な許可

DB2 管理者は、DB2 構成ジョブ BIPCRDB および BIPDLDB を実行するために次の許可を必要とします。
  • コンポーネント PDSE への ALTER アクセス。
  • DB2 許可: SYSCTRL または SYSADM 権限。
  • CREATE STOGROUPCREATE DATABASE、および CREATE TABLESPACEs
  • DROP DATABASE および DROP STOGROUP
DB2 管理者がコンポーネントの作成および削除時に、DB2 パスを実行する場合は、管理者ユーザー ID には以下の権限も必要です。 あるいは、WebSphere Message Broker 管理者に DB2パスを実行する権限を付与することもできます。
  • コンポーネント・ディレクトリー ++COMPONENTDIRECTORY++ への READWRITE、および EXECUTE アクセス。
  • <INSTPATH> への READ/EXECUTE アクセス。<INSTPATH> は、WebSphere Message Broker for z/OS が SMP/E によってインストールされたディレクトリーです。
  • ++HOME++ で示されるディレクトリーへの READ/WRITE アクセス。
  • UNIX システム・サービスでは、開始済みタスク・ユーザー ID および WebSphere Message Broker 管理者ユーザー ID の両方が、インストールおよびコンポーネント・ディレクトリーにアクセスできるグループのメンバーであることが必要です。 これは、両方ともこれらのディレクトリーを扱う特権が必要であるためです。 これらのディレクトリーの所有者は、このグループに適切な許可を与える必要があります。

WebSphere MQ 管理者に必要な許可

WebSphere MQ 管理者がコンポーネントの作成時に、WebSphere MQ パスを実行する場合は、管理者ユーザー ID には以下の権限が必要です。 WebSphere MQ ではなく、WebSphere Message Broker 管理者に WebSphere MQ パスを実行する権限を付与することができます。
  • コンポーネント PDSE への ALTER アクセス。
  • ディレクトリー許可:
    • <INSTPATH> への READ/EXECUTE アクセス。<INSTPATH> は、WebSphere Message Broker for z/OS が SMP/E によってインストールされたディレクトリーです。
    • コンポーネント・ディレクトリー ++COMPONENTDIRECTORY++ への READWRITE、および EXECUTE アクセス。
    • ++HOME++ で示されるディレクトリーへの READ/WRITE アクセス。
WebSphere MQ リソースを保護するため、WebSphere MQ セキュリティーを使用可能にします。 すべての WebSphere MQ セキュリティー・スイッチが使用可能な場合、次のプロファイルを定義し、WebSphere MQ 管理者が WebSphere MQ 構成ジョブを実行するため、各プロファイルへのリストされるアクセスを付与します。リストされる各プロファイル・アクセスの場合、MQ_QMNAMEWebSphere Message Broker コンポーネントが接続される WebSphere MQ キュー・マネージャー、MQADMINWebSphere MQ 管理者 ID を表します。
  • 接続セキュリティー: クラス MQCONN のプロファイル <MQ_QMNAME>.BATCH への READ アクセス。 例えば、キュー・マネージャー MQP1 および WebSphere MQ 管理者 ID MQADMIN には、次の RACF コマンドを使用します。
    RDEFINE MQCONN MQP1.BATCH UACC(NONE)
    PERMIT MQP1.BATCH CLASS(MQCONN) ID(MQADMIN) ACCESS(READ)
  • キュー・セキュリティー: 作成または削除されるコンポーネント・キューのクラス MQQUEUE のプロファイル <MQ_QMNAME>.queue への UPDATE アクセス。総称プロファイル SYSTEM.BROKER.** を作成できます。例えば、キュー・マネージャー MQP1 および WebSphere MQ 管理者 ID MQADMIN については、次のように RACF コマンドを使用して、コンポーネント・キューへのアクセスを制限します。
    RDEFINE MQQUEUE MQP1.SYSTEM.BROKER.** UACC(NONE)
    PERMIT MQP1.SYSTEM.BROKER.** CLASS(MQQUEUE) ID(MQADMIN) ACCESS(UPDATE) 
  • システム・コマンド・サーバー: SYSTEM.COMMAND.** のクラス MQQUEUE のプロファイル <MQ_QMNAME>.queue への UPDATE アクセス。例えば、キュー・マネージャー MQP1 および WebSphere MQ 管理者 ID MQADMIN には、次のように RACF コマンドを使用して、システム・コマンド・サーバーへのアクセスを制限します。
    RDEFINE MQQUEUE MQP1.SYSTEM.COMMAND.** UACC(NONE)
    PERMIT MQP1.SYSTEM.COMMAND.** CLASS(MQQUEUE) ID(MQADMIN) ACCESS(UPDATE) 
    作成/削除ジョブ中に使用されるいくつかのシステム・キューのクラス MQQUEUE のプロファイル <MQ_QMNAME>.queue への UPDATE アクセス。 総称プロファイル <MQ_QMNAME>.** を作成できます。
  • コマンド・セキュリティー:
    • 必要なコンポーネントの作成時に WebSphere MQ パスを実行するには、次のようにします。
      • クラス MQCMDS<MQ_QMNAME>.DEFINE.QLOCAL への ALTER アクセス。
      • クラス MQCMDS<MQ_QMNAME>.DEFINE.QMODEL への ALTER アクセス。
      • クラス MQCMDS<MQ_QMNAME>.DEFINE.CHANNEL への ALTER アクセス。
    • 必要なコンポーネントの削除時に WebSphere MQ パスを実行するには、次のようにします。
      • クラス MQCMDS<MQ_QMNAME>.DELETE.QLOCAL への ALTER アクセス。
      • クラス MQCMDS<MQ_QMNAME>.DELETE.QMODEL への ALTER アクセス。
      • クラス MQCMDS<MQ_QMNAME>.DELETE.CHANNEL への ALTER アクセス。
    キュー・マネージャー MQP1 および WebSphere MQ 管理者 ID MQADMIN には、次の RACF コマンドを使用します。 変更の始まり
    RDEFINE MQCMDS MQP1.DELETE.QLOCAL UACC(NONE)
    PERMIT MQP1.DELETE.QLOCAL CLASS(MQCMDS) ID(MQADMIN) ACCESS(ALTER)
    変更の終わり
  • リソース・コマンド・セキュリティー: 作成または削除される各キューごとに、クラス MQADMINMQP1.QUEUE.queue への ALTER アクセス。 総称プロファイル SYSTEM.BROKER.** を作成できます。 例えば、キュー・マネージャー MQP1 および WebSphere MQ 管理者 ID MQADMIN には、次の RACF コマンドを使用します。
    RDEFINE MQADMIN MQP1.QUEUE.SYSTEM.BROKER.** UACC(NONE)
    PERMIT MQP1.SYSTEM.BROKER.** CLASS(MQADMIN) ID(MQADMIN) ACCESS(ALTER)
  • プロセスおよび名前リスト・セキュリティー: WebSphere MQ セキュリティー・スイッチをシステムのプロセスおよび名前リスト・セキュリティーで使用可能にしている場合、WebSphere Message Broker デフォルト構成でアクセス・プロファイルを定義する必要はありません。

RACF を使用した WebSphere MQ セキュリティーのインプリメント方法の詳細については、WebSphere MQ のセットアップを参照してください。

DB2 サブシステム開始済みタスク・ユーザー ID に必要な許可

DB2 には、DB2_STOR_GROUP_VCAT で指定されるカタログ値への ALTER アクセスが必要です。 この高位修飾子を使用してデータ・セットを作成するためです。

特記事項 | 商標 | ダウンロード | ライブラリー | サポート | フィードバック
Copyright IBM Corporation 1999, 2006 最終更新: 08/21/2006
ae14040_