Berechtigungsprüfung für PCF-Befehle in IBM MQ
Wenn ein PCF-Befehl verarbeitet wird, wird die UserIdentifier aus dem Nachrichtendeskriptor in der Befehlsnachricht für die erforderlichen IBM® MQ -Objektberechtigungsprüfungen verwendet. Die Berechtigungsprüfung wird auf jeder Plattform, wie in diesem Thema beschrieben, unterschiedlich implementiert.
Die Prüfungen werden auf dem System ausgeführt, auf dem der Befehl verarbeitet wird. Daher muss diese Benutzer-ID auf dem Zielsystem vorhanden sein und die erforderlichen Berechtigungen zum Verarbeiten des Befehls haben. Wenn die Nachricht von einem fernen System stammt, ist eine Möglichkeit, die auf dem Zielsystem vorhandene ID zu erreichen, eine übereinstimmende Benutzer-ID auf dem lokalen und dem fernen System zu haben.
![[z/OS]](ngzos.gif)
Hinweis : Informationen zur Überprüfung der Berechtigungen für z/OS® finden Sie unter Aufgabe 1: Identifizieren Sie die Systemparameter von z/OS.![[IBM i]](ngibmi.gif)
IBM MQ for IBM i
Um einen PCF-Befehl verarbeiten zu können, muss die Benutzer-ID über die Berechtigung dsp für das Objekt IBM MQ auf dem Zielsystem verfügen.
In den meisten Fällen handelt es sich bei diesen Prüfungen um dieselben Prüfungen, die von den entsprechenden IBM MQ -CL-Befehlen ausgeführt werden, die auf einem lokalen System abgesetzt werden. Weitere Informationen zur Zuordnung von IBM MQ -Berechtigungen zu IBM i -Systemberechtigungen und zu den Berechtigungsanforderungen für die CL-Befehle von IBM MQ finden Sie im Abschnitt Sicherheit unter IBM i einrichten . Details zur Sicherheit in Bezug auf Exits finden Sie in der Dokumentation Sicherheit auf Verbindungsebene mithilfe eines Sicherheitsexits .
Gehen Sie wie folgt vor, um einen der folgenden Befehle zu verarbeiten : Die Benutzer-ID muss Mitglied des Gruppenprofils QMQMADM sein:
- Pingkanal
- Kanal ändern
- Kanal kopieren
- Kanal erstellen
- Kanal löschen
- Kanal zurücksetzen
- Kanal auflösen
- Kanal starten
- Kanal stoppen
- Kanalinitiator starten
- Kanal-Listener starten
![[AIX, Linux, Windows]](ngalw.gif)
IBM MQ for UNIX, Linux®, and Windows
Wenn Sie einen der folgenden Befehle verarbeiten möchten , muss die Benutzer-ID zur Gruppe mqm gehören.
- Kanal ändern
- Kanal kopieren
- Kanal erstellen
- Kanal löschen
- Pingkanal
- Kanal zurücksetzen
- Kanal starten
- Kanal stoppen
- Kanalinitiator starten
- Kanal-Listener starten
- Kanal auflösen
- Cluster zurücksetzen
- Cluster aktualisieren
- WS-Manager aussetzen
- WS-Manager wiederaufnehmen
![[UNIX, Linux, Windows, IBM i]](ngmulti.gif)
IBM MQ -Objektberechtigungen für Multiplatforms
| Befehl | IBM MQ Objektberechtigung | Klassenberechtigung (für Objekttyp) |
|---|---|---|
| Authentifizierungsinformationen ändern | dsp und chg | nicht zutreffend |
| Kanal ändern | dsp und chg | nicht zutreffend |
| Channel-Listener ändern | dsp und chg | nicht zutreffend |
| Clientverbindungskanal ändern | dsp und chg | nicht zutreffend |
| Namensliste ändern | dsp und chg | nicht zutreffend |
| Prozess ändern | dsp und chg | nicht zutreffend |
| Warteschlange ändern | dsp und chg | nicht zutreffend |
| Warteschlangenmanager ändern | chg siehe Anmerkung 3 und Anmerkung 5 | nicht zutreffend |
| Service ändern | dsp und chg | nicht zutreffend |
| Warteschlange löschen | clr | nicht zutreffend |
| Authentifizierungsinformationen kopieren | DSP | crt |
| Authentifizierungsinformationen kopieren (Ersetzen) siehe Anmerkung 1 | from: dsp to: chg | crt |
| Kanal kopieren | DSP | crt |
| Copy Channel (Ersetzen) siehe Anmerkung 1 | from: dsp to: chg | crt |
| Channel-Listener kopieren | DSP | crt |
| Copy Channel Listener (Ersetzen) siehe Anmerkung 1 | from: dsp to: chg | crt |
| Clientverbindungskanal kopieren | DSP | crt |
| Clientverbindungskanal kopieren (Ersetzen) siehe Anmerkung 1 | from: dsp to: chg | crt |
| Namensliste kopieren | DSP | crt |
| Namensliste kopieren (Ersetzen) siehe Anmerkung 1 | from: dsp to: dsp und chg | crt |
| Prozess kopieren | DSP | crt |
| Prozess kopieren (Ersetzen) siehe Anmerkung 1 | from: dsp to: chg | crt |
| Warteschlange kopieren | DSP | crt |
| Warteschlange kopieren (Ersetzen) siehe Anmerkung 1 | from: dsp to: dsp und chg | crt |
| Authentifizierungsinformationen erstellen | (Systemstandardauthentifizierungsinformationen) dsp | crt |
| Authentifizierungsinformationen erstellen (Ersetzen) siehe Anmerkung 1 | (Systemstandardauthentifizierungsinformationen) dsp to: chg | crt |
| Kanal erstellen | (Systemstandardkanal) dsp | crt |
| Kanal erstellen (Ersetzen) siehe Anmerkung 1 | (Systemstandardkanal) dsp to: chg | crt |
| Kanallistener erstellen | (Systemstandardlistener) dsp | crt |
| Create Channel Listener (Ersetzen) siehe Anmerkung 1 | (system default listener) dsp to: chg | crt |
| Clientverbindungskanal erstellen | (Systemstandardkanal) dsp | crt |
| Clientverbindungskanal erstellen (Ersetzen) siehe Anmerkung 1 | (Systemstandardkanal) dsp to: chg | crt |
| Namensliste erstellen | (Systemstandardnamensliste) dsp | crt |
| Create Namelist (Ersetzen) siehe Anmerkung 1 | (system default namelist) dsp to: dsp und chg | crt |
| Prozess erstellen | (Systemstandardprozess) dsp | crt |
| Erzeugen: Prozess (Ersetzen) siehe Anmerkung 1 | (Systemstandardprozess) dsp to: chg | crt |
| Warteschlange erstellen | (Systemstandardwarteschlange) dsp | crt |
| Warteschlange erstellen (Ersetzen) siehe Anmerkung 1 | (Systemstandardwarteschlange) dsp to: dsp und chg | crt |
| Service erstellen | (Systemstandardwarteschlange) dsp | crt |
| Service erstellen (Ersetzen) siehe Anmerkung 1 | (Systemstandardwarteschlange) dsp to: chg | crt |
| Authentifizierungsinformationen löschen | dsp und dlt | nicht zutreffend |
| Berechtigungssatz löschen | (Warteschlangenmanagerobjekt) chg siehe Anmerkung 4 | siehe Anmerkung 4 |
| Kanal löschen | dsp und dlt | nicht zutreffend |
| Kanallistener löschen | dsp und dlt | nicht zutreffend |
| Clientverbindungskanal löschen | dsp und dlt | nicht zutreffend |
| Delete Namelist | dsp und dlt | nicht zutreffend |
| Prozess löschen | dsp und dlt | nicht zutreffend |
| Warteschlange löschen | dsp und dlt | nicht zutreffend |
| Service löschen | dsp und dlt | nicht zutreffend |
| Authentifizierungsinformationen abgefragt | DSP | nicht zutreffend |
| Berechtigungsdatensätze anfragen | siehe Anmerkung 4 | siehe Anmerkung 4 |
| Kanalinquire | DSP | nicht zutreffend |
| Channel-Listener inquire | DSP | nicht zutreffend |
| Kanalstatus abfragen (für ChannelType MQCHT_CLSSDR) | inq | nicht zutreffend |
| Clientverbindungskanal inquire | DSP | nicht zutreffend |
| Namensliste inquire | DSP | nicht zutreffend |
| Prozess inquire | DSP | nicht zutreffend |
| Warteschlange einfragen | DSP | nicht zutreffend |
| Warteschlangenmanager abfragen | siehe Anmerkung 3 | nicht zutreffend |
| Warteschlangenstatus abgefragt | DSP | nicht zutreffend |
| Inquire Service | DSP | nicht zutreffend |
| Pingkanal | Strg | nicht zutreffend |
| Ping-WS-Manager | siehe Anmerkung 3 | nicht zutreffend |
| WS-Manager aktualisieren | (Warteschlangenmanagerobjekt) chg | nicht zutreffend |
| Sicherheit aktualisieren (für SecurityType MQSECTYPE_SSL) | (Warteschlangenmanagerobjekt) chg | nicht zutreffend |
| Kanal zurücksetzen | ctrlx | nicht zutreffend |
| Warteschlangenmanager zurücksetzen | (Warteschlangenmanagerobjekt) chg | nicht zutreffend |
| Warteschlangenstatistik zurücksetzen | dsp und chg | nicht zutreffend |
| Kanal auflösen | ctrlx | nicht zutreffend |
| Berechtigungssatz festlegen | (Warteschlangenmanagerobjekt) chg siehe Anmerkung 4 | siehe Anmerkung 4 |
| Kanal starten | Strg | nicht zutreffend |
| Kanal stoppen | Strg | nicht zutreffend |
| Verbindung stoppen | (Warteschlangenmanagerobjekt) chg | nicht zutreffend |
| Listener starten | Strg | nicht zutreffend |
| Listener stoppen | Strg | nicht zutreffend |
| Service starten | Strg | nicht zutreffend |
| Service stoppen | Strg | nicht zutreffend |
| Escape | siehe Anmerkung 2 | siehe Anmerkung 2 |
- Dieser Befehl wird angewendet, wenn das zu ersetzendes Objekt vorhanden ist, andernfalls ist die Berechtigungs-Prüfung für "Erstellen" oder "Kopieren ohne Ersetzen".
- Die erforderliche Berechtigung wird durch den MQSC-Befehl bestimmt, der durch den Escape-Text definiert wird, und entspricht einem der vorherigen Befehle.
- Um einen PCF-Befehl verarbeiten zu können, muss die Benutzer-ID über dsp-Berechtigung für das WS-Manager-Objekt auf dem Zielsystem verfügen.
- Dieser PCF-Befehl ist nur dann autorisiert, wenn der Befehlsserver mit dem Parameter -a gestartet wurde. Standardmäßig wird der Befehlsserver gestartet, wenn der Warteschlangenmanager gestartet wird, und ohne den Parameter -a. Weitere Informationen finden Sie unter Programmable command formats reference.
- Das Erteilen einer Benutzer-ID chg für einen Warteschlangenmanager bietet die Möglichkeit, Berechtigungsdatensätze für alle Gruppen und Benutzer festzulegen. Erteilen Sie diese Berechtigung nicht für normale Benutzer oder Anwendungen.
IBM MQ stellt auch einige Kanalsicherheitsexitpunkte bereit, sodass Sie eigene Benutzerexitprogramme für die Sicherheitsprüfung bereitstellen können. Weitere Informationen finden Sie unter Kanal anzeigen.