![[z/OS]](ngzos.gif)
RESLEVEL 安全概要文件
您可以在 MQADMIN 或 MXADMIN 类中定义特殊概要文件,以控制为 API 资源安全性检查的用户标识数。 此概要文件称为 RESLEVEL 概要文件。 此概要文件如何影响 API-资源安全性取决于您访问 IBM® MQ的方式。
hlq.RESLEVEL
其中 hlq 可以是 ssid (子系统标识) 或 qsg (队列共享组标识)。
- 批处理连接的连接任务的用户标识
- CICS®地址空间用户 ID 用于 "CICS连接
- IMS 连接的 IMS 区域地址空间用户标识
- 通道启动程序连接的通道启动程序地址空间用户标识
如果未定义 RESLEVEL 概要文件,那么必须注意 MQADMIN 类中没有其他概要文件与 hlq.RESLEVEL匹配。 例如,如果您在 MQADMIN 中有一个名为 hlq. * * 的概要文件 并且没有 hlq.RESLEVEL 概要文件,请谨防 hlq. ** 的后果。 概要文件,因为它用于 RESLEVEL 检查。
定义 hlq.RESLEVEL 概要文件并将 UACC 设置为 NONE ,而不是完全没有 RESLEVEL 概要文件。 在访问列表中具有尽可能少的用户或组。 有关如何审计 RESLEVEL 访问的详细信息,请参阅审计考虑事项z/OS。
如果仅使用队列管理器级别安全性,那么 IBM MQ 会针对 qmgr-name.RESLEVEL 概要文件执行 RESLEVEL 检查。 如果仅使用队列共享组级别安全性,那么 IBM MQ 会针对 qsg-name.RESLEVEL 概要文件执行 RESLEVEL 检查。 如果同时使用队列管理器和队列共享组级别安全性,那么 IBM MQ 首先会在队列管理器级别检查是否存在 RESLEVEL 概要文件。 如果未找到一个概要文件,那么它将在队列共享组级别检查 RESLEVEL 概要文件。
如果找不到 RESLEVEL 概要文件,那么 IBM MQ 将启用对 CICS 或 IMS 连接的作业和任务 (或备用用户) 标识的检查。 对于批处理连接, IBM MQ 允许检查作业 (或备用) 用户标识。 对于通道启动程序, IBM MQ 支持检查通道用户标识和 MCA (或备用) 用户标识。
如果存在 RESLEVEL 概要文件,那么检查级别取决于该概要文件的环境和访问级别。
请记住,如果您的队列管理器是队列共享组的成员,并且您未在队列管理器级别定义此概要文件,那么可能在队列共享组级别定义了一个将影响检查级别的概要文件。 要激活对两个用户标识的检查,请使用 UACC (NONE) 定义 RESLEVEL 概要文件 (以队列共享组名的队列管理器名称作为前缀) ,并确保相关用户没有对此概要文件授予访问权。
当您考虑通道启动程序的用户标识对 RESLEVEL 的访问权时,请记住通道启动程序建立的连接也是通道使用的连接。 导致绕过通道启动程序用户标识的所有资源安全性检查的设置会有效地绕过所有通道的安全性检查。 如果通道启动程序对 RESLEVEL 的用户标识访问权不是 NONE ,那么仅检查一个用户标识 (对于 READ 或 UPDATE 访问级别) 或任何用户标识 (对于 CONTROL 或 ALTER 访问级别) 以进行访问。 如果将 NONE 以外的访问级别授予通道启动程序的用户标识到 RESLEVEL ,请确保您了解此设置对针对通道执行的安全性检查的影响。
使用 RESLEVEL 概要文件意味着不会获取正常的安全性审计记录。 例如,如果将 UAUDIT 放在用户上,那么不会审计对 MQADMIN 中的 hlq.RESLEVEL 概要文件的访问权。
如果使用 hlq.RESLEVEL 概要文件上的 RACF WARNING 选项,那么不会为 RESLEVEL 类中的概要文件生成 RACF 警告消息。
报告消息 (例如 COD) 的安全性检查由与原始应用程序关联的 RESLEVEL 概要文件控制。 例如,如果批处理作业的用户标识对 RESLEVEL 概要文件具有 CONTROL 或 ALTER 权限,那么将绕过该批处理作业执行的所有资源检查,包括报告消息的安全性检查。
如果更改 RESLEVEL 概要文件,那么用户必须在进行更改之前断开连接并重新连接。 (这包括在分布式排队地址空间用户标识对 RESLEVEL 概要文件的访问权发生更改时停止并重新启动通道启动程序。)
要关闭 RESLEVEL 审计,请使用 RESAUDIT 系统参数。