WebSphere Event Broker는 액세스 제어 목록(ACL)을 사용하여 구성 관리자 및 Message Brokers Toolkit 내에서 오브젝트를 조작할 수 있는 사용자와 그룹을 제어합니다. 사용자 또는 그룹에 부여할 수 있는 네 개의 서로 다른 액세스 레벨(전체, 보기, 전개 및 편집)이 있습니다. 모든 오브젝트 유형에 다음 표에서는 각 오브젝트 유형에 적용할 수 있는 사용권한을 설명하고 사용자 또는 그룹이 수행할 수 있는 조치를 요약합니다.
브로커 관리자가 작성해야 하는 액세스 제어 항목 수를 줄이기 위해 ACL 사용권한은 계층 구조로 작동합니다. 트리의 루트는 세 개의 하위(RootTopic, Subscriptions 및 PubSubTopology)가 있는 ConfigManangerProxy 오브젝트입니다. PubSubTopology 오브젝트는 0개 이상의 브로커를 하위로 가지며, 각 브로커는 0개 이상의 실행 그룹을 하위로 가질 수 있습니다. 주어진 오브젝트에 ACL 입력 항목이 추가될 때 다른 ACL 입력 항목으로 대체되지 않으면 해당 오브젝트 및 계층에서 아래에 있는 모든 오브젝트에 해당 사용권한이 부여됩니다.
z/OS에서
구성 관리자가 ESM(External Security Manager) 데이터베이스에서 사용자 ID 및 그룹 정보를
확보하게 하려면 사용자 ID 및 그룹의 OVMS 데이터베이스를 정의해야 합니다.
다음 다이어그램에서는 계층 예를 보여줍니다.
다음 시나리오는 이 계층 구조가 실제로 작동하는 방식을 보여줍니다.
시나리오 1
UserA에는 액세스 제어 입력 항목이 없습니다. 따라서 UserA는 계층에서 임의의 오브젝트를 조작하거나 계층에 정의된 오브젝트를 볼 수 없습니다.
시나리오 2
CMP 없음
RootTopic 없음
Subs 없음
토폴로지 보기
Broker1 보기
Eg1A 전개
Eg1B 없음
Broker2 없음
Eg2A 없음
Eg2B 없음
실행 그룹에 액세스 제어 입력 항목이 제공되었기 때문에 상위 브로커 및 토폴로지에 대한 내재된 보기 사용권한이 제공됨을 참고하십시오(그렇지 않으면 도구에서 볼 수 없음). 그러나 브로커 또는 토폴로지에 대한 이 사용자의 실제 ACL 입력 항목이 없기 때문에 기타 브로커 또는 실행 그룹에 대한 액세스는 상속되지 않습니다. 실제로 이는 UserB가 해당 브로커에 정의된 다른 실행 그룹이 있음을 알 수 있지만 이름을 포함하여 세부사항은 볼 수 없음을 의미합니다.
마찬가지로 UserB는 다른 브로커가 토폴로지 내에 존재함을 알 수 있지만 세부사항은 볼 수 없습니다. UserB는 RootTopic 또는 subscription 테이블에 대한 액세스 권한이 없습니다.
시나리오 3
CMP 보기
RootTopic 보기
Subs 보기
토폴로지 보기
Broker1 전체
Eg1A 전체
Eg1B 전체
Broker2 보기
Eg2A 보기
Eg2B 보기
시나리오 4
CMP 전체
RootTopic 전체
Subs 전체
토폴로지 전체
Broker1 보기
Eg1A 보기
Eg1B 보기
Broker2 전체
Eg2A 전체
Eg2B 전체
이 예에서는 Broker1에 대한 보기 입력 항목이 없어도 사용자가 전체 제어를 갖게 됨을 참고하십시오. 이렇게 보기 항목을 사용하면 일반적으로 주어진 오브젝트에 대한 전체 제어를 갖는 사용자가 일시적으로 액세스를 줄여 우발적인 삭제나 전개를 방지할 수 있으므로 유용합니다. 사용자가 오브젝트를 전체 제어해야 하는 경우, 보기 입력 항목을 제거하면 전체 제거가 복원되므로 필요한 조작을 수행한 후 보기 항목을 복원할 수 있습니다.
오브젝트에 대한 액세스 제어 항목을 변경하려면 사용자가 해당 오브젝트 또는 계층의 상위에 대한 전체 제어를 갖고 있어야 합니다. 이는 ACL 자체를 변경할 수 있는 사용권한이 앞서 설명한 그대로 작동함을 의미합니다. 단, 트리 아래로 하위 권한을 부여하여 ACL에 대한 액세스를 제거할 수는 없습니다. 그렇지 않으면 사용자가 ACL에 보기 항목을 제공할 수는 있고 제거할 수는 없기 때문에 이는 필수입니다.
Java 구성 관리자 프록시 API를 사용하거나 mqsicreateaclentry, mqsideleteaclentry 및 mqsilistaclentry 명령을 사용하여 ACL 입력 항목을 조작할 수 있습니다.
오브젝트 | 사용권한 | 권한 |
---|---|---|
토폴로지 | 전체 제어 |
|
보기 |
|
|
브로커 | 전체 제어 |
|
전개 |
|
|
보기 |
|
|
실행 그룹 | 전체 제어 |
|
전개 |
|
|
보기 |
|
|
관련 토픽 | 전체 제어 |
|
전개 |
|
|
편집 |
|
|
보기 |
|
|
Subscription | 전체 제어 |
|
보기 |
|