Riepilogo dell'accesso richiesto (z/OS)

Le informazioni riportate di seguito riepilogano l'accesso richiesto dai professionisti della propria organizzazione.

Autorizzazioni richieste per l'ID utente dell'attività avviata WebSphere Message Broker

Le autorizzazioni della directory richieste per tutti i componenti sono:
  • Accesso READ/EXECUTE a <INSTPATH>, dove <INSTPATH> è la directory dove WebSphere Message Broker per z/OS è installato da SMP/E.
  • Accesso READ/WRITE/EXECUTE alla directory del componente ++COMPONENTDIRECTORY++.
  • Accesso READ/WRITE alla directory home.
  • Accesso READ/WRITE alla directory identificata da ++HOME++.
  • In Servizi di sistema UNIX, l'ID utente dell'attività avviata e l'ID utente dell'amministratore di WebSphere Message Broker devono essere entrambi membri dei gruppi che hanno accesso alle directory di installazione e del componente, perché entrambi richiedono dei privilegi per esse. Il proprietario di tali directory deve fornire le autorizzazioni appropriate a tale gruppo.

Inizio modificaLe seguenti autorizzazioni PDSE e DB2 sono richieste solo per un componente broker, ossia non Gestione configurazione o Server nomi utenteFine modifica

Inizio modificaL'accesso READ al componente PDSE è necessario.Fine modifica

Sono richieste le autorizzazioni DB2 per l'ID utente dell'attività avviata e l'ID proprietario della tabella:
  • Se esiste un profilo per db2subsystem.RRSAF nella classe DSNR, per l'ID utente dell'attività avviata è necessario l'accesso al profilo. Ad esempio, il seguente comando RACF indica se il profilo esiste:
    RLIST  DSNR (DB2P.RRSAF) 
    ed il comando riportato di seguito fornisce l'accesso richiesto:
    PERMIT  DB2P.RRSAF  CLASS(DSNR) ID(WQMITASK)  ACCESS(READ)
  • Privilegio SELECT sulle tabelle SYSIBM.SYSTABLES, SYSIBM.SYSSYNONYMS e SYSIBM.SYSDATABASE.
  • Privilegi SELECT, UPDATE, INSERT e DELETE su tutte le tabelle di sistema del broker.
  • DB2_TABLE_OWNER deve essere un ID di autorizzazione valido dell'ID utente dell'attività avviata.
  • Autorizzazione EXECUTE sul piano DSNACLI oppure equivalente per l'ID utente dell'attività avviata.

Autorizzazioni WebSphere MQ:

Abilitare la sicurezza WebSphere MQ per proteggere le risorse WebSphere MQ. Se tutti i commutatori di sicurezza WebSphere MQ sono abilitati, definire i seguenti profili ed assegnare all'ID utente dell'attività avviata l'accesso elencato per ciascun profilo. Per ciascun accesso del profilo elencato, <MQ_QMNAME> rappresenta il gestore code WebSphere MQ a cui è collegato il componente WebSphere Message Broker e TASKID rappresenta l'ID utente dell'attività avviata WebSphere Message Broker.

  • Sicurezza della connessione: accesso READ al profilo <MQ_QMNAME>.BATCH della classe MQCONN. Ad esempio, per il gestore code MQP1 e l'ID dell'attività avviata TASKID, utilizzare i comandi RACF:
    RDEFINE MQCONN MQP1.BATCH UACC(NONE)
    PERMIT MQP1.BATCH CLASS(MQCONN) ID(TASKID) ACCESS(READ)
  • Sicurezza della coda: accesso UPDATE al profilo <MQ_QMNAME>.queue della classe MQQUEUE per tutte le code. Considerare la creazione di profili per le seguenti code:
    • Tutte le code del componente che utilizzano il profilo generico SYSTEM.BROKER.**
    • Tutte le code di trasmissione definite tra i gestori code del componente.
    • Tutte le code definite nei flussi di messaggi.
    • DLQ (dead-letter queues).
    Ad esempio, per il gestore code MQP1 e l'ID dell'attività avviata TASKID, utilizzare i seguenti comandi RACF per limitare l'accesso alle code del componente:
    RDEFINE MQQUEUE MQP1.SYSTEM.BROKER.** UACC(NONE)
    PERMIT MQP1.SYSTEM.BROKER.** CLASS(MQQUEUE) ID(TASKID) ACCESS(UPDATE)
  • Sicurezza del contesto: accesso CONTROL al profilo <MQ_QMNAME>.CONTEXT della classe MQADMIN. Ad esempio, per il gestore code MQP1 e l'ID dell'attività avviata TASKID, utilizzare i seguenti comandi RACF:
    RDEFINE MQADMIN MQP1.CONTEXT UACC(NONE)
    PERMIT MQP1.CONTEXT CLASS(MQADMIN) ID(TASKID) ACCESS(CONTROL)
  • Sicurezza alternativa utente: definire l'autorizzazione alternativa utente come: accesso UPDATE al profilo <MQ_QMNAME>.ALTERNATE.USER.id della classe MQADMIN, dove id rappresenta l'ID di servizio del componente Windows Gestione configurazione. Ad esempio, per il gestore code MQP1, l'ID dell'attività avviata TASKID e l'ID di servizio della configurazione CFGID, utilizzare i seguenti comandi RACF:
    RDEFINE MQADMIN MQP1.ALTERNATE.USER.CFGID UACC(NONE)
    PERMIT MQP1.ALTERNATE.USER.CFGID  CLASS(MQADMIN) ID(TASKID) ACCESS(UPDATE) 
    Accesso UPDATE al profilo <MQ_QMNAME>.ALTERNATE.USER.id della classe MQADMIN, dove id rappresenta l'ID utente, ad esempio, di una richiesta di pubblicazione/sottoscrizione.
  • Sicurezza dell'elenco di nomi e dell'elaborazione: Se nel sistema sono abilitati i commutatori di sicurezza WebSphere MQ per la sicurezza dell'elenco di nomi e dell'elaborazione, non è necessario definire i profili di accesso in una configurazione predefinita WebSphere Message Broker.
Per gli utenti che si collegano in remoto da Message Brokers Toolkit o da un'applicazione Proxy di Gestione configurazione a Gestione configurazione su z/OS sono necessarie le seguenti autorizzazioni:
  • Sicurezza della connessione: accesso READ al profilo <MQ_QMNAME>.CHIN della classe MQCONN. Ad esempio, per il gestore code MQP1 e l'ID dell'attività avviata TASKID, utilizzare i seguenti comandi RACF:
    RDEFINE MQCONN MQP1.CHIN UACC(NONE)
    PERMIT MQP1.CHIN CLASS(MQCONN) ID(TASKID) ACCESS(READ)
  • Sicurezza alternativa utente: definire l'autorizzazione alternativa utente come: accesso UPDATE al profilo <MQ_QMNAME>.ALTERNATE.USER.id della classe MQADMIN, dove id rappresenta l'ID utente di Message Brokers Toolkit o dell'applicazione Proxy di Gestione configurazione. Ad esempio, per il gestore code MQP1, l'ID dell'attività avviata TASKID e l'ID utente USERID, utilizzare i seguenti comandi RACF:
    RDEFINE MQADMIN MQP1.ALTERNATE.USER.USERID UACC(NONE)
    PERMIT MQP1.ALTERNATE.USER.USERID  CLASS(MQADMIN) ID(TASKID) ACCESS(UPDATE)

Autorizzazioni richieste per l'amministratore WebSphere Message Broker

L'amministratore del broker richiede le seguenti autorizzazioni:

  • Accesso ALTER al PDSE del componente.
  • Accesso READ, WRITE ed EXECUTE alla directory del componente ++COMPONENTDIRECTORY++.
  • Accesso READ/EXECUTE a <INSTPATH>, dove <INSTPATH> è la directory dove WebSphere Message Broker per z/OS è installato da SMP/E.
  • Accesso READ/WRITE alla directory identificata da ++HOME++.
  • In Servizi di sistema UNIX, l'ID utente dell'attività avviata e l'ID utente dell'amministratore di WebSphere Message Broker devono essere entrambi membri dei gruppi che hanno accesso alle directory di installazione e del componente, perché entrambi richiedono dei privilegi per esse. Il proprietario di tali directory deve fornire le autorizzazioni appropriate a tale gruppo.
  • Per eseguire il passo DB2 durante la creazione e l'eliminazione dei componenti, è necessaria l'autorizzazione DBADM per il database del broker.

Autorizzazioni richieste per l'amministratore DB2

L'amministratore DB2 deve disporre delle seguenti autorizzazioni per eseguire i lavori di configurazione DB2 BIPCRDB e BIPDLDB:
  • Accesso ALTER al PDSE del componente.
  • Autorizzazioni DB2: autorizzazione SYSCTRL o SYSADM.
  • CREATE STOGROUP, CREATE DATABASE e CREATE TABLESPACEs.
  • DROP DATABASE e DROP STOGROUP.
Se l'amministratore di DB2 esegue il passo DB2 durante la creazione e l'eliminazione di un componente, l'ID utente di amministratore necessita anche delle seguenti autorizzazioni. In alternativa, è possibile concedere all'amministratore di WebSphere Message Broker l'autorizzazione di eseguire il passo DB2.
  • Accesso READ, WRITE ed EXECUTE alla directory del componente ++COMPONENTDIRECTORY++.
  • Accesso READ/EXECUTE a <INSTPATH>, dove <INSTPATH> è la directory dove WebSphere Message Broker per z/OS è installato da SMP/E.
  • Accesso READ/WRITE alla directory identificata da ++HOME++.
  • In Servizi di sistema UNIX, l'ID utente dell'attività avviata e l'ID utente dell'amministratore di WebSphere Message Broker devono essere entrambi membri dei gruppi che hanno accesso alle directory di installazione e del componente, perché entrambi richiedono dei privilegi per esse. Il proprietario di tali directory deve fornire le autorizzazioni appropriate a tale gruppo.

Autorizzazioni richieste per l'amministratore WebSphere MQ

Se l'amministratore di WebSphere MQ esegue il passo WebSphere MQ durante la creazione di un componente, l'ID utente di amministratore necessita delle seguenti autorizzazioni. In alternativa, WebSphere MQ, è possibile concedere all'amministratore di WebSphere Message Broker l'autorizzazione di eseguire il passo WebSphere MQ.
  • Accesso ALTER al PDSE del componente.
  • Autorizzazioni della directory:
    • Accesso READ/EXECUTE a <INSTPATH>, dove <INSTPATH> è la directory dove WebSphere Message Broker per z/OS è installato da SMP/E.
    • Accesso READ, WRITE ed EXECUTE alla directory del componente ++COMPONENTDIRECTORY++.
    • Accesso READ/WRITE alla directory identificata da ++HOME++.
Abilitare la sicurezza WebSphere MQ per proteggere le risorse WebSphere MQ. Se sono abilitati tutti i commutatori di sicurezza WebSphere MQ, definire i seguenti profili e fornire all'amministratore WebSphere MQ l'accesso elencato per ciascun profilo per eseguire i lavori di configurazione di WebSphere MQ. Per ciascun accesso del profilo elencato, MQ_QMNAME rappresenta il gestore code WebSphere MQ a cui è collegato il componente WebSphere Message Broker e MQADMIN rappresenta l'ID dell'amministratore WebSphere MQ:
  • Sicurezza della connessione: accesso READ al profilo <MQ_QMNAME>.BATCH della classe MQCONN. Ad esempio, per il gestore code MQP1 e l'ID dell'amministratore WebSphere MQ MQADMIN, utilizzare i seguenti comandi RACF:
    RDEFINE MQCONN MQP1.BATCH UACC(NONE)
    PERMIT MQP1.BATCH CLASS(MQCONN) ID(MQADMIN) ACCESS(READ)
  • Sicurezza della coda: accesso UPDATE al profilo <MQ_QMNAME>.queue della classe MQQUEUE per le code del componente create oppure eliminate. E' possibile creare un profilo generico SYSTEM.BROKER.** Ad esempio, per il gestore code MQP1 e l'ID dell'amministratore WebSphere MQ MQADMIN, utilizzare i seguenti comandi RACF per limitare l'accesso alle code del componente:
    RDEFINE MQQUEUE MQP1.SYSTEM.BROKER.** UACC(NONE)
    PERMIT MQP1.SYSTEM.BROKER.** CLASS(MQQUEUE) ID(MQADMIN) ACCESS(UPDATE) 
  • Server dei comandi del sistema: accesso UPDATE al profilo <MQ_QMNAME>.queue della classe MQQUEUE per SYSTEM.COMMAND.**. Ad esempio, per il gestore code MQP1 e l'ID amministratore WebSphere MQ MQADMIN, utilizzare i seguenti comandi RACF per limitare l'accesso al server dei comandi del sistema:
    RDEFINE MQQUEUE MQP1.SYSTEM.COMMAND.** UACC(NONE)
    PERMIT MQP1.SYSTEM.COMMAND.** CLASS(MQQUEUE) ID(MQADMIN) ACCESS(UPDATE) 
    Accesso UPDATE al profilo <MQ_QMNAME>.queue della classe MQQUEUE per alcune code di sistema utilizzate durante il lavoro di creazione/eliminazione. È possibile creare un profilo generico <MQ_QMNAME>.**
  • Sicurezza del comando:
    • Per eseguire il passo WebSphere MQ durante la creazione di un componente, è necessario:
      • Accesso ALTER a <MQ_QMNAME>.DEFINE.QLOCAL della classe MQCMDS.
      • Accesso ALTER a <MQ_QMNAME>.DEFINE.QMODEL della classe MQCMDS.
      • Accesso ALTER a <MQ_QMNAME>.DEFINE.CHANNEL della classe MQCMDS.
    • Per eseguire il passo WebSphere MQ durante l'eliminazione di un componente, è necessario:
      • Accesso ALTER a <MQ_QMNAME>.DELETE.QLOCAL della classe MQCMDS.
      • Accesso ALTER a <MQ_QMNAME>.DELETE.QMODEL della classe MQCMDS.
      • Accesso ALTER a <MQ_QMNAME>.DELETE.CHANNEL della classe MQCMDS.
    Per il gestore code MQP1 e l'ID dell'amministratore WebSphere MQ MQADMIN, utilizzare i seguenti comandi RACF: Inizio modifica
    RDEFINE MQCMDS MQP1.DELETE.QLOCAL UACC(NONE)
    PERMIT MQP1.DELETE.QLOCAL CLASS(MQCMDS) ID(MQADMIN) ACCESS(ALTER)
    Fine modifica
  • Sicurezza del comando delle risorse: Accesso ALTER a MQP1.QUEUE.queue della classe MQADMIN per ciascuna coda creata o eliminata. E' possibile creare un profilo generico SYSTEM.BROKER.**. Ad esempio, per il gestore code MQP1 e l'ID dell'amministratore WebSphere MQ MQADMIN, utilizzare i comandi RACF:
    RDEFINE MQADMIN MQP1.QUEUE.SYSTEM.BROKER.** UACC(NONE)
    PERMIT MQP1.SYSTEM.BROKER.** CLASS(MQADMIN) ID(MQADMIN) ACCESS(ALTER)
  • Sicurezza dell'elenco di nomi e dell'elaborazione: Se nel sistema sono abilitati i commutatori di sicurezza WebSphere MQ per la sicurezza dell'elenco di nomi e dell'elaborazione, non è necessario definire i profili di accesso in una configurazione predefinita WebSphere Message Broker.

Per una descrizione dell'implementazione della sicurezza WebSphere MQ mediante RACF, consultare Impostazione di WebSphere MQ.

Autorizzazioni richieste per l'ID utente dell'attività avviata del sottosistema DB2

DB2 richiede l'accesso ALTER al valore del catalogo specificato in DB2_STOR_GROUP_VCAT perché crea insiemi di dati con questo qualificatore di alto livello.

Informazioni particolari | Marchi | Download | Libreria | Supporto | Commenti
Copyright IBM Corporation 1999, 2006 Ultimo aggiornamento: ago 17, 2006
ae14040_