[z/OS]

El perfil de seguridad RESLEVEL

Puede definir un perfil especial en la clase MQADMIN o MXADMIN para controlar el número de identificadores (ID) de usuario que se comprueban para la seguridad de recursos de la API. Este perfil se denomina el perfil RESLEVEL. El modo en que este perfil afecta a la seguridad de recursos de API depende de cómo acceda a IBM® MQ.

Cuando una aplicación intenta conectarse a IBM MQ, IBM MQ comprueba el acceso que el ID de usuario asociado a la conexión tiene a un perfil de la clase MQADMIN o MXADMIN llamado:
hlq.RESLEVEL

Donde hlq puede ser ssid (ID del subsistema) o qsg (ID del grupo de compartición de colas).

Los ID de usuario asociados a cada tipo de conexión son:
  • El ID de usuario de la tarea de conexión para las conexiones por lotes
  • El ID de usuario del espacio de direcciones " CICS® " para las conexiones " CICS "
  • El ID de usuario del espacio de direcciones de la región IMS para conexiones IMS
  • El ID de usuario del espacio de direcciones del iniciador de canal para las conexiones del iniciador de canal
Atención: RESLEVEL es una opción muy potente; puede provocar la omisión de todas las comprobaciones de seguridad de recursos para una conexión determinada.

Si no tiene un perfil RESLEVEL definido, asegúrese de que ningún otro perfil de la clase MQADMIN coincida con hlq.RESLEVEL. Por ejemplo, si tiene un perfil en MQADMIN llamado hlq. * * y ningún perfil hlq.RESLEVEL , tenga cuidado con las consecuencias del hlq. * * porque se utiliza para la comprobación RESLEVEL.

Defina un perfil hlq.RESLEVEL y establezca el UACC en NONE, en vez de no tener perfil RESLEVEL alguno. Tenga el menor número de usuarios o grupos en la lista de acceso que sea posible. Para obtener detalles sobre cómo auditar el acceso RESLEVEL, consulte Consideraciones sobre la auditoría en z/OS.

Si utiliza sólo la seguridad a nivel de gestor de colas, IBM MQ realiza comprobaciones RESLEVEL en el perfil qmgr-name.RESLEVEL . Si está utilizando sólo la seguridad a nivel de grupo de compartición de colas, IBM MQ realiza comprobaciones RESLEVEL en el perfil qsg-name.RESLEVEL . Si está utilizando una combinación de seguridad a nivel de gestor de colas y de grupo de compartición de colas, IBM MQ primero comprueba la existencia de un perfil RESLEVEL a nivel de gestor de colas. Si no encuentra ninguno, busca un perfil RESLEVEL a nivel de grupo de compartición de colas.

Si no puede encontrar un perfil RESLEVEL, IBM MQ habilita la comprobación del trabajo y del ID de tarea (o usuario alternativo) para una conexión CICS o IMS . Para una conexión por lotes, IBM MQ habilita la comprobación del ID de usuario del trabajo (o alternativo). Para el iniciador de canal, IBM MQ habilita la comprobación del ID de usuario de canal y el ID de usuario MCA (o alternativo).

Si hay un perfil RESLEVEL, el nivel de comprobación depende del entorno y el nivel de acceso para el perfil.

Recuerde que si el gestor de colas es miembro de un grupo de compartición de colas y no define este perfil a nivel de gestor de colas, puede haber uno definido a nivel de grupo de compartición de colas que afectará al nivel de comprobación. Para activar la comprobación de dos ID de usuario, debe definir un perfil RESLEVEL (con el prefijo del nombre del gestor de colas del nombre del grupo de compartición de colas) con un UACC (NONE) y asegurarse de que los usuarios relevantes no tienen acceso otorgado a este perfil.

Cuando considere el acceso que el ID de usuario del iniciador del canal tiene a RESLEVEL, recuerde que la conexión establecida por el iniciador de canal es también la conexión utilizada por los canales. Un valor que hace que se pasen por alto todas las comprobaciones de seguridad de recursos para el ID de usuario del iniciador del canal omite de hecho las comprobaciones de seguridad para todos los canales. Si el ID de usuario del iniciador del canal es cualquiera que no sea NONE, entonces sólo se comprueba el acceso de un ID de usuario (para un nivel de acceso READ o UPDATE) o de ningún ID de usuario (para un nivel de acceso CONTROL o ALTER). si otorga al ID de usuario del iniciador de canal un nivel de acceso distinto de NONE a RESLEVEL, asegúrese de que comprende el efecto de este valor en las comprobaciones de seguridad realizadas para los canales.

La utilización del perfil RESLEVEL significa que no se toman registros de auditoría de seguridad normales. Por ejemplo, si pone UAUDIT en un usuario, no se realiza la auditoría del acceso al perfil hlq.RESLEVEL en MQADMIN.

Si utiliza la opción RACF WARNING en el perfil hlq.RESLEVEL , no se genera ningún mensaje de aviso RACF para los perfiles de la clase RESLEVEL.

Las comprobaciones de seguridad para los mensajes de informes como los COD los controla el perfil RESLEVEL asociado a la aplicación de origen. Por ejemplo, si un ID de usuario de trabajo por lotes tiene autorización de CONTROL o ALTER para un perfil RESLEVEL, entonces todas las comprobaciones de recursos realizadas por el trabajo por lotes se omiten , incluida la comprobación de seguridad de los mensajes de informes.

Si cambia el perfil RESLEVEL, los usuarios deben desconectarse y conectarse de nuevo para que el cambio tenga efecto. (Esto incluye la detención y reinicio del iniciador de canal si se cambia el acceso que el ID de usuario del espacio de direcciones de gestión de colas distribuidas tiene al perfil RESLEVEL.)

Para desactivar la auditoría de RESLEVEL, utilice el parámetro del sistema RESAUDIT.