Configuración de la seguridad de z/OS

Debe completar algunas tareas de configuración de seguridad antes de que WebSphere Message Broker pueda funcionar correctamente. Los pasos que debe seguir se describen en este tema y también en los temas siguientes:

Decida los nombres de tareas iniciadas del intermediario, el Gestor de configuración y el Servidor de nombres de usuario. Estos nombres se utilizan para configurar las autorizaciones para las tareas iniciadas y para gestionar el rendimiento del sistema.

Decida el convenio de denominación de conjuntos de datos para los PDSE de WebSphere Message Broker. Un nombre normal podría ser WMQI.MQP1BRK.CNTL o MQS.MQP1UNS.BIPCNTL, donde MQP1 es el nombre del gestor de colas. Ha de proporcionar acceso a los conjuntos de datos a los administradores de WebSphere Message Broker, WebSphere MQ, DB2 y z/OS. Puede permitir a dichos profesionales que controlen el acceso de distintas formas, por ejemplo:
  • Proporcione a cada usuario un acceso individual al conjunto de datos específico.
  • Defina un perfil de conjunto de datos genérico, definiendo un grupo que contenga los ID de usuario de los administradores. Otorgue al grupo el control de acceso al perfil del conjunto de datos genérico.

Si piensa utilizar la Publicación/Suscripción, defina un grupo llamado MQBRKRS y conecte los ID de usuario de tarea iniciada a dicho grupo. Defina un segmento del grupo OMVS para este grupo, de forma que el Servidor de nombres de usuario pueda extraer información de la base de datos del gestor de seguridad externo (External Security Manager, ESM) que permita al usuario utilizar la seguridad de Publicación/Suscripción.

Cada intermediario necesita un ID exclusivo para sus tablas DB2. Pueden ser:
  • Un ID de usuario de tarea iniciada exclusivo; puede utilizar el nombre del intermediario como ID de usuario de tarea iniciada.

    Un grupo exclusivo para el intermediario (por ejemplo, MQP1GRP) que tenga definidas todas las autorizaciones de DB2 necesarias. El ID de usuario de tarea iniciada del intermediario y el administrador de WebSphere Message Broker son ambos miembros de este grupo.

  • Un ID de usuario de tarea iniciada compartido y un grupo exclusivo especificado para identificar las tablas DB2 que vayan a utilizarse con la interfaz ODBC. Use el nombre del intermediario como nombre del grupo.
Defina un segmento OMVS para el ID de usuario de tarea iniciada y asigne a su directorio inicial suficiente espacio para cualquier vuelco de WebSphere Message Broker. Considere la utilización del nombre de procedimiento de tarea iniciada como ID de usuario de tarea iniciada. Compruebe si el segmento OMVS se ha definido utilizando el siguiente mandato TSO:
LU idusuario OMVS
La salida del mandato incluye el segmento OMVS, por ejemplo:
USER=MQP1BRK NAME=SMITH, JANE OWNER=TSOUSER
CREATED=99.342 DEFAULT-GROUP=TSOUSER PASSDATE=01.198
PASS-INTERVAL=30
......
OMVS INFORMATION
----------------
UID=0000070594
HOME=/u/MQP1BRK
PROGRAM=/bin/sh
CPUTIMEMAX=NONE
ASSIZEMAX=NONE
FILEPROCMAX=NONE
PROCUSERMAX=NONE
THREADSMAX=NONE
MMAPAREAMAX=NONE
El mandato:
df -P /u/MQP1BRK
visualiza la cantidad de espacio utilizada y disponible, donde /u/MQP1BRK es el valor procedente de HOME arriba. Este mandato muestra qué cantidad de espacio está disponible en ese momento en el sistema de archivos. Consulte con los administradores de datos si esa cantidad es suficiente. Necesita, como mínimo, 400.000 bloques libres; es lo necesario para poder efectuar un vuelco.

Asocie el procedimiento de tarea iniciada al ID de usuario que va a usarse. Por ejemplo, puede utilizar la clase STARTED en RACF. Los administradores de WebSphere Message Broker y z/OS han de estar de acuerdo con el nombre de la tarea iniciada,

Los administradores de WebSphere Message Broker necesitan un segmento OMVS y un directorio inicial. Compruebe la configuración descrita arriba.

Los ID de usuario de tarea iniciada y los administradores de WebSphere Message Broker han de tener acceso a los archivos de proceso de instalación, los archivos específicos del componente y al directorio inicial de la tarea iniciada. Durante la personalización, se puede cambiar el propietario del archivo para modificar el acceso del grupo. Esto puede requerir autorización de superusuario.

Cuando el ID de usuario de servicio es root, todas las bibliotecas cargadas por el intermediario, incluidas todas las bibliotecas de plug-in escritas por el usuario y todas las bibliotecas compartidas a las que puedan acceder, tienen también acceso de root a todos los recursos del sistema (por ejemplo, catálogos de archivos). Revise y valore el riesgo que implica el conceder ese nivel de autorización.

Para obtener más información sobre diversos aspectos de seguridad, consulte el apartado Visión general de seguridad.

Conceptos relacionados
Visión general de seguridad
Inicio del cambioHabilitación del Gestor de configuración en z/OS para obtener información de ID de usuarioFin del cambio
Tareas relacionadas
Configuración de DB2
Configuración de WebSphere MQ
Configuración del acceso al entorno de trabajo en z/OS
Creación de los ID de usuario de Publicación/Suscripción
Referencia relacionada
Tareas y funciones de personalización en z/OS
Resumen del acceso necesario (z/OS)
Avisos | Marcas registradas | Descargas | Biblioteca | Soporte | Su opinión
Copyright IBM Corporation 1999, 2006 Última actualización: 22/08/2006
ae14030_