IBM® MQ 用のセキュリティー環境のセットアップ

File Manager は、File Manager 機能を使用するときに MQ リソースへのアクセスを保護するためのセキュリティー機能を提供します。

これらの機能は、IBM® MQ セキュリティーの代わりとしてではなく、連携して動作します。アクセスが File Manager によって制限されていない場合でも、IBM® MQ セキュリティーによって制限される場合があります。アクセスが File Manager セキュリティーによって制限されていない場合でも、IBM® MQ セキュリティーによって制限される場合があります。MQの File Manager セキュリティー機能は、File Manager を使用してMQリソースにアクセスする場合にのみ適用されます。

MQ の File Manager セキュリティーは、MQ リソースにアクセスする File Manager 機能を使用しようとするユーザーに適用されます。デフォルトでは、File Manager は MQ リソースへのアクセスを保護しません。

キュー・マネージャーのセキュリティーのアクティブ化

キュー・マネージャーを保護するには、所定のシスプレックス上の指定されたキュー・マネージャーにセキュリティーが必要であることを示すセキュリティー・リソースを定義する必要があります。

セキュリティー・リソースは FMNMQ.SECURITY.sysplex.qmgr という形式をとり、FACILITY クラスに対して定義する必要があります。例:
RDEFINE FACILITY FMNMQ.SECURITY.SYSPLEXD.CSQ1 UACC(READ)

ユーザーに読み取りアクセス権限を付与すると、所定のシスプレックス上の指定されたキュー・マネージャーに対する File Manager セキュリティーはそのユーザーに適用されることを示します。アクセス権が付与されていない場合、セキュリティーはアクティブではありません。セキュリティーがアクティブな場合、キュー・マネージャーの属性とキューにアクセスするために、ユーザーにリソースへの追加のアクセス権限が付与されている必要があります。キュー・マネージャーに対してセキュリティーがアクティブでない場合、キュー・マネージャーに関連する File Manager 許可は適用されません。

キュー・マネージャー・リソースの保護

キュー・マネージャーに対してセキュリティーがアクティブな場合、ユーザーは、XFACILIT クラスに定義された、FMNMQ.sysplex.qmgr という形式のセキュリティー・リソースに対して少なくとも読み取りアクセス権限を持っていない限り、キュー・マネージャーのリソースにアクセスすることはできません。

例:
RDEFINE XFACILIT FMNMQ.SYSPLEXD.CSQ1 UACC(NONE) 
PERMIT FMNMQ.SYSPLEXD.CSQ1 CLASS(XFACILIT) ID(JOHND) ACCESS(READ)
ユーザーに READ アクセス権限を付与すると、ユーザーは、キュー・マネージャーの属性、そのキュー、およびキューの属性をリストすることができます。キュー・マネージャーの属性を変更するには、ユーザーが ALTER 権限を持っている必要があります。例えば、次の権限を持つユーザーは、キュー・マネージャーのキュー属性の変更、既存のキューの削除、新しいキューの作成を実行することもできます。
PERMIT FMNMQ.SYSPLEXD.CSQ1 CLASS(XFACILIT) ID(JOHND) ACCESS(ALTER)

キュー・メッセージの保護

キュー・マネージャーに対してセキュリティーがアクティブな場合、ユーザーは、XFACILIT クラスに定義された、FMNMQ.sysplex.qmgr.queue という形式のセキュリティー・リソースに対して少なくとも読み取りアクセス権限を持っていない限り、キューのメッセージにアクセスすることはできません。

例:
RDEFINE XFACILIT FMNMQ.SYSPLEXD.CSQ1.* UACC(NONE)
PERMIT FMNMQ.SYSPLEXD.CSQ1.* CLASS(XFACILIT) ID(JOHND) ACCESS(READ)
ユーザーに READ アクセス権を付与すると、ユーザーはキューにあるメッセージをブラウズできます。キューにあるメッセージを編集、挿入、削除、または破壊的な方法で取得するには、少なくとも UPDATE 権限が必要です。例えば、次の権限を持つユーザーは、キューのメッセージをリセットまたは消去することもできます。
PERMIT FMNMQ.SYSPLEXD.CSQ1.* CLASS(XFACILIT) ID(JOHND) ACCESS(UPDATE)

また、UPDATE 権限を持つユーザーは、キューのメッセージをリセットまたは消去することもできます。

File Manager コマンドの保護

キュー・マネージャーに対してセキュリティーがアクティブな場合、ユーザーは実行中の File Manager コマンドに関連するターゲット MQ リソースへの適切なアクセス権を持っている必要があります。

IBM® MQ リソースに影響を与える可能性があるコマンドの範囲があります。どちらの場合も、以下のセキュリティー・リソース定義と許可が必要です。

  • コマンドがキュー・マネージャーの属性またはそのキューの属性を読み取る場合、要求側のユーザーは、読み取り対象となっているキュー・マネージャーの XFACILIT クラスのリソース FMNMQ.sysplex.qmgr に対する読み取り権限を持っている必要があります。
  • コマンドがキュー・マネージャーの属性を変更するか、またはそのキューを定義する場合、要求側のユーザーは、変更対象となっているキュー・マネージャーの XFACILIT クラスのリソース FMNMQ.sysplex.qmgr に対する変更権限を持っている必要があります。
  • コマンドがメッセージ・データを読み取る場合、要求側のユーザーは、読み取り対象となっているキューの XFACILIT クラスのリソース FMNMQ.sysplex.qmgr.queue に対する読み取り権限を持っている必要があります。
  • コマンドがメッセージ・データを更新する場合、要求側のユーザーは、更新対象となっているキューの XFACILIT クラスのリソース FMNMQ.sysplex.qmgr.queue に対する更新権限を持っている必要があります。

メッセージ・コンテキストの保護

File Manager は MQ セキュリティー制御を使用して、メッセージおよびメッセージ・コンテキストを編集します。

File Manager セッションが開始すると、File Manager ではユーザーが MQADMIN クラスの qmgr.CONTEXT. queue リソースに対して CONTROL 権限を持っているかどうかをチェックします。一部の外部セキュリティー・マネージャーでは、このチェックには特定の権限が必要な場合があります。メッセージが更新されると、ユーザーが MQADMIN クラスの qmgr.CONTEXT.queue リソース に対して CONTROL 権限を持つ場合、MQ メッセージ・コンテキストは保持されます。ない場合、メッセージ・コンテキストは MQ 通常操作に従ってデフォルトのメッセージ・コンテキストに置き換えられます。