Configuración de la seguridad de z/OS

Debe completar algunas tareas de configuración de seguridad antes de que WebSphere Event Broker pueda funcionar correctamente. Los pasos que debe seguir se describen en este tema y también en los temas siguientes:

Decida los nombres de las tareas iniciadas del intermediario, el Gestor de configuración y el Servidor de nombres de usuarios. Estos nombres se utilizan para configurar las autorizaciones para las tareas iniciadas y para gestionar el rendimiento del sistema.

Decida el convenio de denominación de conjuntos de datos para los PDSE de WebSphere Event Broker. Un nombre normal podría ser WMQI.MQP1BRK.CNTL o MQS.MQP1UNS.BIPCNTL, donde MQP1 es el nombre del gestor de colas. Ha de proporcionar acceso a los conjuntos de datos a los administradores de WebSphere Event Broker, WebSphere MQ, DB2 y z/OS. Puede permitir a dichos profesionales que controlen el acceso de distintas formas, por ejemplo:
  • Proporcione a cada usuario un acceso individual al conjunto de datos específico.
  • Defina un perfil de conjunto de datos genérico, definiendo un grupo que contenga los ID de usuario de los administradores. Otorgue al grupo el control de acceso al perfil del conjunto de datos genérico.

Si piensa utilizar la Publicación/Suscripción, defina un grupo llamado MQBRKRS y conecte los ID de usuario de la tarea iniciada a dicho grupo. Defina un segmento del grupo OMVS para este grupo, de forma que el Servidor de nombres de usuarios pueda extraer información de la base de datos del gestor de seguridad externo (External Security Manager, ESM) que permita al usuario utilizar la seguridad de Publicación/Suscripción.

Cada intermediario necesita un ID exclusivo para sus tablas DB2. Pueden ser:
  • Un ID de usuario exclusivo de tarea iniciada; puede utilizar el nombre del intermediario como ID de usuario de tarea iniciada.

    Un único grupo para el intermediario (por ejemplo, MQP1GRP) que tenga definidas todas las autorizaciones necesarias de DB2. El ID de usuario de la tarea iniciada iniciada por el intermediario y el administrador de WebSphere Event Broker son ambos miembros de este grupo.

  • Un ID de usuario de tarea iniciada compartido y un grupo exclusivo especificado para identificar las tablas DB2 que vayan a utilizarse con la interfaz ODBC. Use el nombre del intermediario como nombre del grupo.
Defina un segmento OMVS para el ID de usuario de tarea iniciada y dé a su directorio inicial suficiente espacio para cualquier vuelco de WebSphere Event Broker. Considere la utilización del nombre del procedimiento de la tarea iniciada como ID de usuario de la tarea iniciada. Comprueba si el segmento OMVS se ha definido utilizando el siguiente mandato TSO:
LU idusuario OMVS
La salida del mandato incluye el segmento OMVS, por ejemplo:
USER=MQP1BRK NAME=SMITH, JANE OWNER=TSOUSER
CREATED=99.342 DEFAULT-GROUP=TSOUSER PASSDATE=01.198
PASS-INTERVAL=30
......
OMVS INFORMATION
----------------
UID=0000070594
HOME=/u/MQP1BRK
PROGRAM=/bin/sh
CPUTIMEMAX=NONE
ASSIZEMAX=NONE
FILEPROCMAX=NONE
PROCUSERMAX=NONE
THREADSMAX=NONE
MMAPAREAMAX=NONE
El mandato:
df -P /u/MQP1BRK
visualiza la cantidad de espacio utilizada y disponible, donde /u/MQP1BRK es el valor procedente de HOME arriba. Este mandato muestra qué cantidad de espacio está disponible en ese momento en el sistema de archivos. Vea con los administradores de datos si esa cantidad es suficiente. Necesita, como mínimo, 400.000 bloques libres; es lo necesario para poder efectuar un vuelco.

Asocie el procedimiento de la tarea iniciada al ID de usuario que va a usarse. Por ejemplo, puede utilizar la clase STARTED en RACF. Los administradores de WebSphere Event Broker y z/OS han de estar de acuerdo con el nombre de la tarea iniciada,

Los administradores de WebSphere Event Broker necesitan un segmento OMVS y un directorio inicial. Compruebe la configuración descrita arriba.

Los ID de usuario de la tarea iniciada y los administradores de WebSphere Event Broker han de tener acceso a los archivos de proceso de instalación, los archivos específicos del componente y el directorio inicial de la tarea iniciada. Durante la personalización, se puede cambiar el propietario del archivo para modificar el acceso del grupo. Esto puede requerir autorización de superusuario.

Cuando el ID de usuario de servicio es root, todas las bibliotecas cargadas por el intermediario, incluidas todas las bibliotecas de plug-in escritas por el usuario y todas las bibliotecas compartidas a las que puedan acceder, tienen también acceso de root a todos los recursos del sistema (por ejemplo, catálogos de archivos). Revise y valore el riesgo que implica el conceder ese nivel de autorización.

Tareas relacionadas
Configuración de DB2
Configuración de WebSphere MQ
Configuración del acceso al área de trabajo en z/OS
Creación de los ID de usuario de Publicación/Suscripción
Referencia relacionada
Tareas y funciones de personalización (z/OS)
Resumen de acceso requerido (z/OS)
Avisos | Marcas registradas | Descargas | Biblioteca | Soporte | Su opinión
Copyright IBM Corporation 1999, 2005 Última actualización: 07/11/2005
ae14030_