![[z/OS]](ngzos.gif)
배치 애플리케이션에 필요한 보안 프로파일
큐 공유 그룹 시나리오의 배치 구현에 필요한 추가 보안 프로파일입니다.
배치 애플리케이션은 QM1에서 사용자 ID BATCHID로 실행됩니다. 큐 관리자
QM1에 연결하고 메시지를 다음 큐에 넣습니다.
- LQ1
- RQA
- RQB
MQPMO_SET_ALL_CONTEXT 옵션을 사용합니다. 메시지 디스크립터(MQMD)의 UserIdentifier
필드에서 발견된 사용자 ID는 MSGUSR입니다.
큐 관리자 QM1에는 다음 프로파일이 필요합니다.
| 클래스 | 프로파일 | 사용자 ID | 액세스 |
|---|---|---|---|
| MQCONN | QSGA.BATCH | BATCHID | READ |
| MQADMIN | QSGA.CONTEXT.** | BATCHID | CONTROL |
| MQQUEUE | QSGA.LQ1 | BATCHID | UPDATE |
| MQQUEUE | QSGA.RQA | BATCHID | UPDATE |
| MQQUEUE | QSGA.RQB | BATCHID | UPDATE |
큐 관리자 QM1에서 큐 RQA에 넣을 메시지에 대해 큐 관리자 QM2에서 다음 프로파일이 필요합니다.
| 클래스 | 프로파일 | 사용자 ID | 액세스 |
|---|---|---|---|
| MQADMIN | QSGA.ALTERNATE.USER.MSGUSR | MCATCP MOVER2 | UPDATE |
| MQADMIN | QSGA.CONTEXT.** | MCATCP MOVER2 | CONTROL |
| MQQUEUE | QSGA.LQA | MOVER2 MSGUSR | UPDATE |
| MQQUEUE | QSGA.DLQ | MOVER2 MSGUSR | UPDATE |
참고:
- 메시지의 MQMD에서 전달되는 사용자 ID는 큐 관리자 QM2에서 MQPUT1에 대한 사용자 ID로 사용됩니다. 수신자 채널이 PUTAUT(CTX) 및 MCAUSER(MCATCP)로 정의되었기 때문입니다.
- 수신자 채널 정의의 MCAUSER 필드는 MCATCP로 설정됩니다. 이 사용자 ID는 대체 사용자 ID와 컨텍스트 프로파일에 대해 실행된 검사에 대한 채널 시작기 주소 공간 사용자 ID에 추가로 사용됩니다.
- MOVER2 사용자 ID와 메시지 디스크립터(MQDM)의
UserIdentifier는 큐에 대한 자원 검사에 사용됩니다. - 목적지 큐에 놓을 수 없는 메시지를 보낼 수 있도록, MOVER2 및 MSGUSR 사용자 ID 둘 다에는 데드-레터 큐에 대한 액세스 권한이 필요합니다.
- RESLEVEL이 NONE으로 설정되므로, 두 사용자 ID는 수행된 세 개의 검사 모두에 대해 검사됩니다.
큐 관리자 QM1에서 큐 RQA에 넣을 메시지에 대해 큐 관리자 QM2에서 다음 프로파일이 필요합니다(LU 6.2 채널에 대해).
| 클래스 | 프로파일 | 사용자 ID | 액세스 |
|---|---|---|---|
| MQADMIN | QSGA.ALTERNATE.USER.MSGUSR | MCALU62 MOVER1 | UPDATE |
| MQADMIN | QSGA.CONTEXT.** | MCALU62 MOVER1 | CONTROL |
| MQQUEUE | QSGA.LQB | MOVER1 MSGUSR | UPDATE |
| MQQUEUE | QSGA.DLQ | MOVER1 MSGUSR | UPDATE |
참고:
- 메시지의 MQMD에서 전달되는 사용자 ID는 큐 관리자 QM2에서 MQPUT1에 대한 사용자 ID로 사용됩니다. 수신자 채널이 PUTAUT(CTX) 및 MCAUSER(MCALU62)로 정의되었기 때문입니다.
- MCA 사용자 ID는 수신자 채널 정의(MCALU62)의 MCAUSER 필드 값으로 설정됩니다.
- LU 6.2가 채널에 대한 통신 시스템에서 보안을 지원하므로, 네트워크에서 수신된 사용자 ID는 채널 사용자 ID(MOVER1)로 사용됩니다.
- RESLEVEL이 NONE으로 설정되므로, 두 사용자 ID는 수행된 세 개의 검사 모두에 대해 검사됩니다.
- MCALU62 및 MOVER1은 대체 사용자 ID와 컨텍스트 프로파일에 대해 수행된 검사에 사용되고 MSGUSR 및 MOVER1은 큐 프로파일에 대한 검사에 사용됩니다.
- 목적지 큐에 놓을 수 없는 메시지를 보낼 수 있도록, MOVER1 및 MSGUSR 사용자 ID 둘 다에는 데드-레터 큐에 대한 액세스 권한이 필요합니다.