[z/OS]

RACF perfiles

Todos los perfiles RACF® utilizados por IBM® MQ contienen un prefijo, que es el nombre del gestor de colas o el nombre del grupo de compartición de colas. Tenga cuidado cuando utilice el signo de tanto por ciento como carácter comodín.

Todos los perfiles RACF utilizados por IBM MQ contienen un prefijo. Para la seguridad a nivel de grupo de compartición de colas, el prefijo es el nombre del grupo de compartición de colas. Para la seguridad a nivel de gestor de colas, es el nombre del gestor de colas. Si está utilizando una combinación de seguridad a nivel de gestor de colas y de grupo de compartición de colas, utilizará perfiles con los dos tipos de prefijo. La seguridad a nivel de grupo de compartición de colas y de gestor de colas se describe en Controles y opciones de seguridad en IBM MQ for z/OS®.

Por ejemplo, si desea proteger una cola denominada QUEUE_FOR_SUBSCRIBER_LIST en el grupo de compartición de colas QSG1 a nivel de grupo de compartición de colas, el perfil adecuado se definiría en RACF como:
RDEFINE MQQUEUE QSG1.QUEUE_FOR_SUBSCRIBER_LIST
Si desea proteger una cola denominada QUEUE_FOR_LOST_CARD_LIST, que pertenece al gestor de colas STCD a nivel de gestor de colas, el perfil adecuado se definiría en RACF como:
RDEFINE MQQUEUE STCD.QUEUE_FOR_LOST_CARD_LIST

Esto significa que distintos gestores de colas y grupos de compartición de colas pueden compartir la misma base de datos RACF y, sin embargo, tener distintas opciones de seguridad.

No utilice nombres de gestor de colas genéricos en los perfiles para evitar un acceso de usuarios imprevisto.

IBM MQ permite el uso del signo de porcentaje (%) en nombres de objeto. Sin embargo, RACF utiliza el carácter% como comodín de un solo carácter. Esto significa que cuando defina un nombre de objeto que contenga un carácter % en el nombre, debe tener esto en cuenta cuando defina el perfil correspondiente.

Por ejemplo, para la cola CREDIT_CARD_ %_RATE_QUESTION, en el gestor de colas CRDP, el perfil se definiría en RACF como se indica a continuación:
RDEFINE MQQUEUE CRDP.CREDIT_CARD_%_RATE_INQUIRY

Esta cola no se puede proteger con un perfil genérico, como por ejemplo CRDP.**.

IBM MQ permite el uso de caracteres en mayúsculas y minúsculas en los nombres de objeto. Puede proteger estos objetos definiendo:
  1. Perfiles en mayúsculas y minúsculas en las clases RACF en mayúsculas y minúsculas adecuadas, o
  2. Perfiles genéricos en las clases RACF en mayúsculas adecuadas.

Para utilizar perfiles de casos mixtos y clases RACF de casos mixtos, debe seguir los pasos descritos en Migración de un gestor de colas z/OS a la seguridad de casos mixtos.

Hay algunos perfiles, o partes de perfiles, que permanecen en mayúsculas sólo cuando los valores los proporciona IBM MQ. Son las siguientes:
  • Perfiles de conmutador.
  • Todos los calificadores de alto nivel (HLQ) incluyendo los identificadores de subsistema y de grupo de compartición de colas.
  • Perfiles para objetos SYSTEM.
  • Perfiles para objetos predeterminados.
  • La clase MQCMDS, por lo que todos los perfiles de mandato son en mayúsculas solamente.
  • La clase MQCONN, por lo que todos los perfiles de conexión son en mayúsculas solamente.
  • Perfiles RESLEVEL.
  • La calificación 'object' en perfiles de recurso de mandato; por ejemplo, hlq.QUEUE.queuename. Sólo el nombre de recurso está en una combinación de mayúsculas y minúsculas.
  • Perfiles de cola dinámica hlq.CSQOREXX.*, hlq.CSQUTIL.* y CSQXCMD.*.
  • La parte 'CONTEXT' de hlq.CONTEXT.resourcename.
  • La parte 'ALTERNATE.USER' de hlq.ALTERNATE.USER.userid.
Por ejemplo, puede definir un perfil para otorgar acceso a una cola denominada PAYROLL.Dept1 en el gestor de colas QM01 de una de las maneras siguientes.
  • Si utiliza perfiles con mayúsculas y minúsculas, puede definir un perfil en la clase MXQUEUE de IBM MQ RACF utilizando el mandato siguiente:
    RDEFINE MXQUEUE MQ01.PAYROLL.Dept1
  • Si utiliza perfiles en mayúsculas, puede definir un perfil en la clase MQQUEUE de IBM MQ RACF utilizando el mandato siguiente:
    RDEFINE MQQUEUE MQ01.PAYROLL.*
El primer ejemplo, utilizando perfiles de mayúsculas y minúsculas, le proporciona un control más granular sobre el otorgamiento de autorización para acceder al recurso.