[z/OS]

Sicurezza delle risorse API in IBM MQ for z/OS

Le risorse vengono verificate quando un'applicazione apre un oggetto con una chiamata MQOPEN o MQPUT1 . L'accesso necessario per aprire un oggetto dipende dalle opzioni di apertura specificate quando la coda viene aperta.

La sicurezza delle risorse API è suddivisa nei seguenti controlli:

Non viene eseguito alcun controllo di sicurezza quando si apre l'oggetto del gestore code o quando si accede agli oggetti della classe di memoria.

Coda

Il controllo di sicurezza della coda controlla chi è autorizzato ad aprire la coda e con quali opzioni è consentito aprirla. Ad esempio, un utente potrebbe essere autorizzato ad aprire una coda denominata PAYROLL.INCREASE.SALARY per esaminare i messaggi sulla coda (utilizzando l'opzione MQOO_BROWSE), ma non per rimuovere i messaggi dalla coda (utilizzando una delle opzioni MQOO_INPUT_ *). Se si disattiva la verifica delle code, qualsiasi utente può aprire qualsiasi coda con qualsiasi opzione di apertura valida (ovvero, qualsiasi opzione MQOO_ * valida su una chiamata MQOPEN o MQPUT1 ).

È possibile attivare o disattivare il controllo di sicurezza della coda a livello di gestore code o di gruppo di condivisione code.

Processo

Il controllo di sicurezza del processo viene eseguito quando un utente apre un oggetto definizione processo. Se si disattiva il controllo dei processi, qualsiasi utente può aprire qualsiasi processo.

È possibile attivare o disattivare il controllo di sicurezza del processo a livello di gestore code o di gruppo di condivisione code.

Elenco nomi

Il controllo di sicurezza dell'elenco nomi viene effettuato quando un utente apre un elenco nomi. Se si disattiva la verifica degli elenchi nomi, qualsiasi utente può aprire qualsiasi elenco nomi.

È possibile attivare o disattivare il controllo di sicurezza dell'elenco nomi a livello del gestore code o del gruppo di condivisione code.

Alterna utente

La sicurezza utente alternativa controlla se un ID utente può utilizzare l'autorizzazione di un altro ID utente per aprire un oggetto IBM® MQ .

Ad esempio:
  • Un programma server in esecuzione con ID utente PAYSERV richiama un messaggio di richiesta da una coda inserita nella coda dall'ID utente USER1.
  • Quando il programma del server riceve il messaggio di richiesta, elabora la richiesta e reinserisce la risposta nella coda di risposta specificata con il messaggio di richiesta.
  • Invece di utilizzare il proprio ID utente (PAYSERV) per autorizzare l'apertura della coda di risposta, il server può specificare un altro ID utente, in questo caso USER1. In questo esempio, la sicurezza dell'utente alternativo controlla se all'ID utente PAYSERV è consentito specificare l'ID utente USER1 come ID utente alternativo quando si apre la coda di risposta.

L'ID utente alternativo viene specificato nel campo AlternateUserId del descrittore oggetto (MQOD).

È possibile utilizzare ID utente alternativi su qualsiasi oggetto IBM MQ , ad esempio, processi o elenchi nomi. Non influisce sull'ID utente utilizzato da altri gestori risorse, ad esempio per la sicurezza CICS® o per la sicurezza del dataset z/OS® .

Se la sicurezza dell'utente alternativo non è attiva, qualsiasi utente può utilizzare qualsiasi altro ID utente come ID utente alternativo.

È possibile attivare o disattivare il controllo di sicurezza dell'utente alternativo a livello di gestore code o di gruppo di condivisione code.

Contesto
Il contesto è un'informazione applicabile a un particolare messaggio e contenuta nel descrittore del messaggio (MQMD) che fa parte del messaggio. Le informazioni di contesto si trovano in due sezioni:
Sezione Identità
L'utente dell'applicazione che per primo ha inserito il messaggio in una coda. Si compone dei seguenti campi:
  • UserIdentifier
  • AccountingToken
  • ApplIdentityData
Sezione Origine
L'applicazione che ha inserito il messaggio nella coda in cui è attualmente memorizzato. Si compone dei seguenti campi:
  • PutApplType
  • PutApplName
  • PutDate
  • PutTime
  • ApplOriginData

Le applicazioni possono specificare i dati di contesto quando viene effettuata una chiamata MQPUT o MQPUT1 . L'applicazione potrebbe generare i dati, i dati potrebbero essere passati da un altro messaggio o il gestore code potrebbe generare i dati per impostazione predefinita. Ad esempio, i programmi server possono utilizzare i dati di contesto per controllare l'identità del richiedente, ovvero, questo messaggio proviene dall'applicazione corretta? Generalmente, il campo UserIdentifier viene utilizzato per determinare l'ID utente di un utente alternativo.

Utilizzare la sicurezza del contesto per controllare se l'utente può specificare una delle opzioni di contesto su una chiamata MQOPEN o MQPUT . Per informazioni sulle opzioni di contesto, consultare Opzioni MQOPEN relative al contesto del messaggio. Per le descrizioni dei campi del descrittore dei messaggi relativi al contesto, vedere MQMD - Message descriptor.

Se si disattiva il controllo della sicurezza del contesto, qualsiasi utente può utilizzare una delle opzioni di contesto consentite dalla sicurezza della coda.

È possibile attivare o disattivare il controllo di sicurezza del contesto a livello di coda, gestore code o gruppo di condivisione code.