[z/OS]

Für eine Stapelanwendung erforderliche Sicherheitsprofile

Zusätzliche Sicherheitsprofile, die für eine Stapelimplementierung des Szenarios mit zwei Warteschlangenmanagern erforderlich sind.

Die Stapelanwendung wir unter der Benutzer-ID BATCHID auf QM1 ausgeführt. Sie stellt eine Verbindung zu Warteschlangenmanager QM1 her und reiht Nachrichten in die folgenden Warteschlangen ein:
  • LQ1
  • RQA
  • RQB
  • RQC

Es wird die Option MQPMO_SET_ALL_CONTEXT verwendet. Die alternative Benutzer-ID, die im Feld UserIdentifier des Nachrichtendeskriptors (MQMD) angegeben ist, lautet MSGUSR.

Auf Warteschlangenmanager QM1 sind die folgenden Profile erforderlich:

Tabelle 1. Beispielsicherheitsprofile für die Stapelanwendung auf Warteschlangenmanager QM1
Klasse Profil Benutzer-ID Zugriff
MQCONN QM1.BATCH BATCHID READ
MQADMIN QM1.CONTEXT.** BATCHID CONTROL
MQQUEUE QM1.LQ1 BATCHID UPDATE
MQQUEUE QM1.RQA BATCHID UPDATE
MQQUEUE QM1.RQB BATCHID UPDATE
MQQUEUE QM1.RQC BATCHID UPDATE

Folgende Profile sind auf Warteschlangenmanager QM2 für Nachrichten erforderlich, die in Warteschlange RQA auf Warteschlangenmanager QM1 eingereiht werden (für den TCP/IP-Kanal ohne TLS):

Tabelle 2. Beispielsicherheitsprofile für Warteschlangenmanager QM2 (TCP/IP ohne TLS)
Klasse Profil Benutzer-ID Zugriff
MQADMIN QM2.ALTERNATE.USER.MSGUSR MCATCP MOVER2 UPDATE
MQADMIN QM2.CONTEXT.** MCATCP MOVER2 CONTROL
MQQUEUE QM2.LQA MOVER2 MSGUSR UPDATE
MQQUEUE QM2.DLQ MOVER2 MSGUSR UPDATE
Hinweise:
  1. Die im MQMD der Nachricht übergebene Benutzer-ID wird als Benutzer-ID für den MQPUT1 auf Warteschlangenmanager QM2 verwendet, weil der Empfängerkanal mit PUTAUT(CTX) und MCAUSER(MCATCP) definiert wurde.
  2. Im Feld MCAUSER der Empfängerkanaldefinition ist MCATCP festgelegt. Diese Benutzer-ID wird zusätzlich zur Benutzer-ID für den Kanalinitiatoradressraum für die Prüfungen für die alternative Benutzer-ID und das Kontextprofil verwendet.
  3. Die Benutzer-ID MOVER2 und die Benutzer-ID im Feld UserIdentifier des Nachrichtendeskriptors (MQMD) werden für die Ressourcenprüfungen für die Warteschlange verwendet.
  4. Die Benutzer-IDs MOVER2 und MSGUSR benötigen beide Zugriffsberechtigung für die Warteschlange für nicht zustellbare Nachrichten, damit Nachrichten, die nicht in die Zielwarteschlange eingereiht werden können, dorthin gesendet werden können.
  5. Bei allen drei Prüfungen werden zwei Benutzer-IDs geprüft, da für RESLEVEL NONE festgelegt ist.

Auf Warteschlangenmanager QM2 sind für Nachrichten, die in die Warteschlange RQB auf Warteschlangenmanager QM1 eingereiht werden, die folgenden Profile erforderlich (für den LU 6.2-Kanal):

Tabelle 3. Beispielsicherheitsprofile für Warteschlangenmanager QM2 bei Verwendung von LU 6.2
Klasse Profil Benutzer-ID Zugriff
MQADMIN QM2.ALTERNATE.USER.MSGUSR MCALU62 MOVER1 UPDATE
MQADMIN QM2.CONTEXT.** MCALU62 MOVER1 CONTROL
MQQUEUE QM2.LQB MOVER1 MSGUSR UPDATE
MQQUEUE QM2.DLQ MOVER1 MSGUSR UPDATE
Hinweise:
  1. Die im MQMD der Nachricht übergebene Benutzer-ID wird als Benutzer-ID für den MQPUT1 auf Warteschlangenmanager QM2 verwendet, weil der Empfängerkanal mit PUTAUT(CTX) und MCAUSER(MCALU62) definiert wurde.
  2. Für die MCA-Benutzer-ID ist der Wert des Feldes MCAUSER der Empfängerkanaldefinition (MCALU62) festgelegt.
  3. Da LU 6.2 Sicherheit auf dem Kommunikationssystem für den Kanal unterstützt, wird die aus dem Netz erhaltene Benutzer-ID als Kanalbenutzer-ID (MOVER1) verwendet.
  4. Bei allen drei Prüfungen werden zwei Benutzer-IDs geprüft, da für RESLEVEL NONE festgelegt ist.
  5. Für die Prüfungen für die alternative Benutzer-ID und die Kontextprofile werden MCALU62 und MOVER1 und für die Prüfungen für das Warteschlangenprofil werden MSGUSR und MOVER1 verwendet.
  6. Die Benutzer-IDs MOVER1 und MSGUSR benötigen beide Zugriffsberechtigung für die Warteschlange für nicht zustellbare Nachrichten, damit Nachrichten, die nicht in die Zielwarteschlange eingereiht werden können, dorthin gesendet werden können.

Folgende Profile sind auf Warteschlangenmanager QM2 für Nachrichten erforderlich, die in Warteschlange RQC auf Warteschlangenmanager QM1 eingereiht werden (für den TCP/IP-Kanal mit TLS):

Tabelle 4. Beispielsicherheitsprofile für Warteschlangenmanager QM2 (TCP/IP mit TLS)
Klasse Profil Benutzer-ID Zugriff
MQADMIN QM2.ALTERNATE.USER.MSGUSR MCASSL CERTID UPDATE
MQADMIN QM2.CONTEXT.** MCASSL CERTID CONTROL
MQQUEUE QM2.LQC CERTID MSGUSR UPDATE
MQQUEUE QM2.DLQ CERTID

MSGUSR		 UPDATE
Hinweise:
  1. Die im MQMD der Nachricht übergebene Benutzer-ID wird als Benutzer-ID für den MQPUT1 auf Warteschlangenmanager QM2 verwendet, weil der Empfängerkanal mit PUTAUT(CTX) und MCAUSER(MCASSL) definiert wurde.
  2. Die MCA-Benutzer-ID wird auf den Wert des Feldes MCAUSER der Empfängerkanaldefinition gesetzt (MCASSL).
  3. Da das Zertifikat, das im Rahmen des TLS-Handshakes über den Kanal von QM1 übergeben wird, möglicherweise auf dem System von QM2 installiert ist oder einem Zertifikatsnamensfilter auf dem System von QM2 entspricht, wird die bei diesem Abgleich gefundene Benutzer-ID als Kanalbenutzer-ID verwendet (CERTID).
  4. Bei allen drei Prüfungen werden zwei Benutzer-IDs geprüft, da für RESLEVEL NONE festgelegt ist.
  5. MCASSL und CERTID werden für die Prüfungen der alternativen Benutzer-ID und der Kontextprofile verwendet und MSGUSR und MOVER1 werden für die Prüfungen des Warteschlangenprofils verwendet.
  6. Sowohl CERTID als auch MSGUSR benötigen Zugriff auf die Warteschlange für nicht zustellbare Nachrichten, damit Nachrichten, die nicht in die Zielwarteschlange eingereiht werden können, dorthin gesendet werden können.