Übersicht über die erforderlichen Zugriffsrechte (z/OS)

Im Folgenden eine Übersicht über die Zugriffsrechte, über die professionelle Anwender in Ihrer Organisation verfügen müssen.

Erforderliche Berechtigungen für die Benutzer-ID der gestarteten Task für WebSphere Message Broker

Lesezugriff (READ) auf die Komponenten-PDSE ist erforderlich.

Folgende Verzeichnisberechtigungen sind erforderlich:
  • Lese- und Schreibzugriff (READ/EXECUTE) auf <INSTPATH>; dabei ist <INSTPATH> das Verzeichnis, in dem unter Verwendung von SMP/E WebSphere Message Broker for z/OS installiert ist.
  • Lese-, Schreib- und Ausführungszugriff (READ/WRITE/EXECUTE) auf das Komponentenverzeichnis ++COMPONENTDIRECTORY++.
  • Lese- und Schreibzugriff (READ/WRITE) auf das Ausgangsverzeichnis.
  • Lese- und Schreibzugriff (READ/WRITE) auf das Ausgangsverzeichnis ++HOME++.
  • Unter UNIX System Services müssen die Benutzer-ID für die gestartete Task und die Administrator-ID für WebSphere Message Broker zu den Gruppen gehören, die Zugriff auf die Installations- und Komponentenverzeichnisse haben, da beide Berechtigungen für diese Verzeichnisse benötigen. Der Besitzer dieser Verzeichnisse muss der Gruppe die entsprechenden Berechtigungen erteilen.
DB2-Berechtigungen für die Benutzer-ID der gestarteten Task und die ID des Tabelleneigners sind erforderlich:
  • Enthält die Klasse DSNR ein Profil für db2subsystem.RRSAF, muss die Benutzer-ID der gestarteten Task Zugriff auf das Profil haben. Mit dem folgenden RACF-Befehl kann beispielsweise festgestellt werden, ob das Profil vorhanden ist:
    RLIST  DSNR (DB2P.RRSAF) 
    Mit dem folgenden Befehl kann der erforderliche Zugriff erteilt werden:
    PERMIT  DB2P.RRSAF  CLASS(DSNR) ID(WQMITASK) ACCESS(READ)
  • Die Berechtigung SELECT für die Tabellen SYSIBM.SYSTABLES, SYSIBM.SYSSYNONYMS und SYSIBM.SYSDATABASE.
  • Die Berechtigungen SELECT, UPDATE, INSERT und DELETE für alle Systemtabellen des Brokers.
  • Bei DB2_TABLE_OWNER muss es sich um eine gültige Berechtigungs-ID für die Benutzer-ID der gestarteten Task handeln.
  • Die Berechtigung EXECUTE für den Plan DSNACLI oder eine äquivalente Berechtigung für die Benutzer-ID der gestarteten Task.

WebSphere MQ-Berechtigungen

Aktivieren Sie zum Schutz Ihrer WebSphere MQ-Ressourcen die WebSphere MQ-Sicherheit. Nachdem alle WebSphere MQ-Sicherheitsschalter aktiviert wurden, müssen Sie die folgenden Profile definieren und der Benutzer-ID der gestarteten Tasks für jedes Profil die hier aufgeführten Zugriffsrechte erteilen. In den aufgeführten Profilberechtigungen steht <MQ_QMNAME> für den WebSphere MQ-Warteschlangenmanager, mit dem die WebSphere Message Broker-Komponente verbunden ist. TASKID steht für die Benutzer-ID der in WebSphere Message Broker gestarteten Task.

  • Sicherheit beim Verbindungsaufbau: Lesezugriff (READ) auf das Profil <MQ_QMNAME>.BATCH der Klasse MQCONN. Für den Warteschlangenmanager MQP1 und die ID TASKID der gestarteten Task beispielsweise werden die folgenden RACF-Befehle eingegeben:
    RDEFINE MQCONN MQP1.BATCH UACC(NONE)
    PERMIT MQP1.BATCH CLASS(MQCONN) ID(TASKID) ACCESS(READ)
  • Warteschlangensicherheit: Aktualisierungszugriff (UPDATE) auf das Profil <MQ_QMNAME>.queue der Klasse MQQUEUE für alle Warteschlangen. Profile sollten für die folgenden Warteschlangen erstellt werden:
    • Alle Komponentenwarteschlangen, die das generische Profil SYSTEM.BROKER.** verwenden.
    • Alle Übertragungswarteschlangen, die zwischen den Warteschlangenmanagern der Komponenten definiert wurden.
    • Alle in Nachrichtenflüssen definierten Warteschlangen.
    • Warteschlangen für nicht zustellbare Nachrichten.
    Für den Warteschlangenmanager MQP1 und die ID TASKID der gestarteten Task beispielsweise wird der Zugriff auf die Komponentenwarteschlangen mittels der folgenden RACF-Befehle eingeschränkt:
    RDEFINE MQQUEUE MQP1.SYSTEM.BROKER.** UACC(NONE)
    PERMIT MQP1.SYSTEM.BROKER.** CLASS(MQQUEUE) ID(TASKID) ACCESS(UPDATE)
  • Kontextsicherheit: Steuerungszugriff (CONTROL) auf das Profil <MQ_QMNAME>.CONTEXT der Klasse MQADMIN. Für den Warteschlangenmanager MQP1 und die ID TASKID der gestarteten Task beispielsweise werden die folgenden RACF-Befehle eingegeben:
    RDEFINE MQADMIN MQP1.CONTEXT UACC(NONE)
    PERMIT MQP1.CONTEXT CLASS(MQADMIN) ID(TASKID) ACCESS(CONTROL)
  • Sicherheit bei Verwendung alternativer Benutzer: Definieren Sie die alternative Benutzerberechtigung wie folgt: Aktualisierungszugriff (UPDATE) auf das Profil <MQ_QMNAME>.ALTERNATE.USER.id der Klasse MQADMIN; dabei steht id für die Service-ID der Konfigurationsmanager-Komponente. Für den Warteschlangenmanager MQP1, die ID TASKID der gestarteten Task und die Konfigurationsservice-ID CFGID beispielsweise werden die folgenden RACF-Befehle eingegeben:
    RDEFINE MQADMIN MQP1.ALTERNATE.USER.CFGID UACC(NONE)
    PERMIT MQP1.ALTERNATE.USER.CFGID  CLASS(MQADMIN) ID(TASKID) ACCESS(UPDATE) 
    Aktualisierungszugriff (UPDATE) auf das Profil <MQ_QMNAME>.ALTERNATE.USER.id der Klasse MQADMIN; dabei steht id beispielsweise für die Benutzer-ID einer Publish/Subscribe-Anforderung.
  • Prozess- und Namenslistensicherheit: Wenn Sie in Ihrem System die WebSphere MQ-Sicherheitsschalter für die Prozess- und Namenslistensicherheit aktiviert haben, müssen keine Zugriffsprofile in einer WebSphere Message Broker-Standardkonfiguration definiert werden.
Benutzer, die sich per Remotezugriff entweder über das Message Brokers Toolkit oder aus einer Konfigurationsmanager-Proxy-Anwendung unter z/OS beim Konfigurationsmanager anmelden, benötigen folgende Berechtigungen:
  • Verbindungssicherheit: Lesezugriff (READ) auf das Profil <MQ_QMNAME>.CHIN der Klasse MQCONN. Für den Warteschlangenmanager MQP1 und die ID TASKID der gestarteten Task beispielsweise werden die folgenden RACF-Befehle eingegeben:
    RDEFINE MQCONN MQP1.CHIN UACC(NONE)
    PERMIT MQP1.CHIN CLASS(MQCONN) ID(TASKID) ACCESS(READ)
  • Sicherheit bei Verwendung alternativer Benutzer: Definieren Sie die alternative Benutzerberechtigung wie folgt: Aktualisierungszugriff (UPDATE) auf das Profil <MQ_QMNAME>.ALTERNATE.USER.id der Klasse MQADMIN; dabei steht id für die Benutzer-ID der Message Brokers Toolkit- oder Konfigurationsmanager-Proxy-Anwendung. Beispiel: Geben Sie für den Warteschlangenmanager MQP1, die ID TASKID der gestarteten Task und die Benutzer-ID USERID folgende RACF-Befehle ein:
    RDEFINE MQADMIN MQP1.ALTERNATE.USER.USERID UACC(NONE)
    PERMIT MQP1.ALTERNATE.USER.USERID  CLASS(MQADMIN) ID(TASKID) ACCESS(UPDATE)

Erforderliche Berechtigungen für WebSphere Message Broker-Administratoren

Der Brokeradministrator benötigt die folgenden Berechtigungen:

  • Änderungszugriff (ALTER) auf die Komponenten-PDSE.
  • Lese-, Schreib- und Ausführungszugriff (READ, WRITE, EXECUTE) auf das Komponentenverzeichnis ++COMPONENTDIRECTORY++.
  • Lese- und Schreibzugriff (READ/EXECUTE) auf <INSTPATH>; dabei ist <INSTPATH> das Verzeichnis, in dem unter Verwendung von SMP/E WebSphere Message Broker for z/OS installiert ist.
  • Lese- und Schreibzugriff (READ/WRITE) auf das Ausgangsverzeichnis ++HOME++.
  • Unter UNIX System Services müssen die Benutzer-ID für die gestartete Task und die Administrator-ID für WebSphere Message Broker zu den Gruppen gehören, die Zugriff auf die Installations- und Komponentenverzeichnisse haben, da beide Berechtigungen für diese Verzeichnisse benötigen. Der Besitzer dieser Verzeichnisse muss der Gruppe die entsprechenden Berechtigungen erteilen.
  • Um den DB2-Arbeitsgang beim Erstellen und Löschen von Komponenten ausführen zu können, ist die Berechtigung DBADM für die Brokerdatenbank erforderlich.

Erforderliche Berechtigungen für DB2-Administratoren

Der DB2-Administrator benötigt folgende Berechtigungen, um die DB2-Konfigurationsjobs BIPCRDB und BIPDLDB auszuführen:
  • Änderungszugriff (ALTER) auf die Komponenten-PDSE.
  • DB2-Berechtigungen SYSCTRL oder SYSADM.
  • CREATE STOGROUP, CREATE DATABASE und CREATE TABLESPACEs.
  • DROP DATABASE und DROP STOGROUP.
Damit der DB2-Administrator beim Erstellen und Löschen einer Komponente den DB2-Arbeitsgang ausführen kann, muss die Benutzer-ID des Administrators außerdem über die folgenden Berechtigungen verfügen. Ebenso können Sie auch dem WebSphere Message Broker-Administrator die Berechtigung zum Ausführen des DB2-Arbeitsgangs erteilen.
  • Lese-, Schreib- und Ausführungszugriff (READ, WRITE und EXECUTE) auf das Komponentenverzeichnis ++COMPONENTDIRECTORY++.
  • Lese- und Schreibzugriff (READ/EXECUTE) auf <INSTPATH>; dabei ist <INSTPATH> das Verzeichnis, in dem unter Verwendung von SMP/E WebSphere Message Broker for z/OS installiert ist.
  • Lese- und Schreibzugriff (READ/WRITE) auf das Ausgangsverzeichnis ++HOME++.
  • Unter UNIX System Services müssen die Benutzer-ID für die gestartete Task und die Administrator-ID für WebSphere Message Broker zu den Gruppen gehören, die Zugriff auf die Installations- und Komponentenverzeichnisse haben, da beide Berechtigungen für diese Verzeichnisse benötigen. Der Besitzer dieser Verzeichnisse muss der Gruppe die entsprechenden Berechtigungen erteilen.

Erforderliche Berechtigungen für WebSphere MQ-Administratoren

Damit der WebSphere MQ-Administrator beim Erstellen einer Komponente den WebSphere MQ-Arbeitsgang ausführen kann, muss die Benutzer-ID des Administrators über die folgenden Berechtigungen verfügen. Ebenso können Sie auch dem WebSphere Message Broker-Administrator die Berechtigung zum Ausführen des WebSphere MQ-Arbeitsgangs erteilen.
  • Änderungszugriff (ALTER) auf die Komponenten-PDSE.
  • Verzeichnisberechtigungen.
    • Lese- und Schreibzugriff (READ/EXECUTE) auf <INSTPATH>; dabei ist <INSTPATH> das Verzeichnis, in dem unter Verwendung von SMP/E WebSphere Message Broker for z/OS installiert ist.
    • Lese-, Schreib- und Ausführungszugriff (READ, WRITE und EXECUTE) auf das Komponentenverzeichnis ++COMPONENTDIRECTORY++.
    • Lese- und Schreibzugriff (READ/WRITE) auf das Ausgangsverzeichnis ++HOME++.
Aktivieren Sie zum Schutz Ihrer WebSphere MQ-Ressourcen die WebSphere MQ-Sicherheit. Nachdem alle WebSphere MQ-Sicherheitsschalter aktiviert wurden, müssen Sie die folgenden Profile definieren und den WebSphere MQ-Administratoren für jedes Profil die hier aufgeführten Zugriffsrechte erteilen, damit die WebSphere MQ-Konfigurationsjobs ausgeführt werden können. Für jedes der hier aufgeführten Profile steht MQ_QMNAME für den WebSphere MQ-Warteschlangenmanager, mit dem die WebSphere Message Broker-Komponente verbunden ist, und MQADMIN für die Administrator-ID für WebSphere MQ.
  • Sicherheit beim Verbindungsaufbau: Lesezugriff (READ) auf das Profil <MQ_QMNAME>.BATCH der Klasse MQCONN. Für den Warteschlangenmanager MQP1 und die WebSphere MQ-Administrator-ID MQADMIN beispielsweise werden die folgenden RACF-Befehle eingegeben:
    RDEFINE MQCONN MQP1.BATCH UACC(NONE)
    PERMIT MQP1.BATCH CLASS(MQCONN) ID(MQADMIN) ACCESS(READ)
  • Warteschlangensicherheit: Aktualisierungszugriff (UPDATE) auf das Profil <MQ_QMNAME>.queue der Klasse MQQUEUE für Warteschlangen, die erstellt oder gelöscht wurden. Sie können ein generisches Profil (SYSTEM.BROKER.**) erstellen. Für den Warteschlangenmanager MQP1 und die WebSphere MQ-Administrator-ID MQADMIN beispielsweise wird der Zugriff auf die Komponentenwarteschlangen mittels der folgenden RACF-Befehle eingeschränkt:
    RDEFINE MQQUEUE MQP1.SYSTEM.BROKER.** UACC(NONE)
    PERMIT MQP1.SYSTEM.BROKER.** CLASS(MQQUEUE) ID(MQADMIN) ACCESS(UPDATE) 
  • Systembefehlsserver: Aktualisierungszugriff (UPDATE) auf das Profil <MQ_QMNAME>.queue der Klasse MQQUEUE für SYSTEM.COMMAND.**. Für den Warteschlangenmanager MQP1 und die WebSphere MQ-Administrator-ID MQADMIN beispielsweise wird der Zugriff auf den Systembefehlsserver mittels der folgenden RACF-Befehle eingeschränkt:
    RDEFINE MQQUEUE MQP1.SYSTEM.COMMAND.** UACC(NONE)
    PERMIT MQP1.SYSTEM.COMMAND.** CLASS(MQQUEUE) ID(MQADMIN) ACCESS(UPDATE) 
    Aktualisierungszugriff (UPDATE) auf das Profil <MQ_QMNAME>.queue der Klasse MQQUEUE für einige Systemwarteschlangen, die während des Jobs zum Erstellen/Löschen verwendet werden. Sie können das generische Profil <MQ_QMNAME>.** erstellen.
  • Befehlssicherheit:
    • Zum Ausführen des WebSphere MQ-Arbeitsgangs beim Erstellen einer Komponente benötigen Sie:
      • Änderungszugriff (ALTER) auf <MQ_QMNAME>.DEFINE.QLOCAL der Klasse MQCMDS.
      • Änderungszugriff (ALTER) auf <MQ_QMNAME>.DEFINE.QMODEL der Klasse MQCMDS.
      • Änderungszugriff (ALTER) auf <MQ_QMNAME>.DEFINE.CHANNEL der Klasse MQCMDS.
    • Zum Ausführen des WebSphere MQ-Arbeitsgangs beim Löschen einer Komponente benötigen Sie:
      • Änderungszugriff (ALTER) auf <MQ_QMNAME>.DELETE.QLOCAL der Klasse MQCMDS.
      • Änderungszugriff (ALTER) auf <MQ_QMNAME>.DELETE.QMODEL der Klasse MQCMDS.
      • Änderungszugriff (ALTER) auf <MQ_QMNAME>.DELETE.CHANNEL der Klasse MQCMDS.
    Für den Warteschlangenmanager MQP1 und die WebSphere MQ-Administrator-ID MQADMIN beispielsweise werden die folgenden RACF-Befehle eingegeben:
    RDEFINE MQADMIN MQP1.DELETE.QLOCAL UACC(NONE)
    PERMIT MQP1.DELETE.QLOCAL CLASS(MQADMIN) ID(MQADMIN) ACCESS(ALTER)
  • Ressourcenbefehlssicherheit: Änderungszugriff (ALTER) auf MQP1.QUEUE.queue der Klasse MQADMIN für jede Warteschlange, die erstellt oder gelöscht wurde. Sie können ein generisches Profil (SYSTEM.BROKER.**) erstellen. Für den Warteschlangenmanager MQP1 und die WebSphere MQ-Administrator-ID MQADMIN beispielsweise werden die folgenden RACF-Befehle eingegeben:
    RDEFINE MQADMIN MQP1.QUEUE.SYSTEM.BROKER.** UACC(NONE)
    PERMIT MQP1.SYSTEM.BROKER.** CLASS(MQADMIN) ID(MQADMIN) ACCESS(ALTER)
  • Prozess- und Namenslistensicherheit: Wenn Sie in Ihrem System die WebSphere MQ-Sicherheitsschalter für die Prozess- und Namenslistensicherheit aktiviert haben, müssen keine Zugriffsprofile in einer WebSphere Message Broker-Standardkonfiguration definiert werden.

Informationen über das Implementieren der WebSphere MQ-Sicherheit unter Verwendung von RACF finden Sie unter WebSphere MQ einrichten.

Erforderliche Berechtigungen für die Benutzer-ID der gestarteten Task für das DB2-Subsystem

DB2 benötigt Änderungszugriff (ALTER) auf die in DB2_STOR_GROUP_VCAT angegebenen Katalogwerte, da es Dateien mit diesem übergeordneten Qualifikationsmerkmal erstellt.

Bemerkungen | Marken | Downloads | Bibliothek | Unterstützung | Rückmeldung
Copyright IBM Corporation 1999, 2006 Letzte Aktualisierung: 18.05.2006
ae14040_