ACL 사용권한

WebSphere Event Broker는 액세스 제어 목록(ACL)을 사용하여 구성 관리자Message Brokers Toolkit 내에서 오브젝트를 조작할 수 있는 사용자와 그룹을 제어합니다. 사용자 또는 그룹에 부여할 수 있는 네 개의 서로 다른 액세스 레벨(전체, 보기, 전개 및 편집)이 있습니다. 모든 오브젝트 유형에 다음 표에서는 각 오브젝트 유형에 적용할 수 있는 사용권한을 설명하고 사용자 또는 그룹이 수행할 수 있는 조치를 요약합니다.

브로커 관리자가 작성해야 하는 액세스 제어 항목 수를 줄이기 위해 ACL 사용권한은 계층 구조로 작동합니다. 트리의 루트는 세 개의 하위(RootTopic, Subscriptions 및 PubSubTopology)가 있는 ConfigManangerProxy 오브젝트입니다. PubSubTopology 오브젝트는 0개 이상의 브로커를 하위로 가지며, 각 브로커는 0개 이상의 실행 그룹을 하위로 가질 수 있습니다. 주어진 오브젝트에 ACL 입력 항목이 추가될 때 다른 ACL 입력 항목으로 대체되지 않으면 해당 오브젝트 및 계층에서 아래에 있는 모든 오브젝트에 해당 사용권한이 부여됩니다.

변경 시작z/OS에서 구성 관리자가 ESM(External Security Manager) 데이터베이스에서 사용자 ID 및 그룹 정보를 확보하게 하려면 사용자 ID 및 그룹의 OVMS 데이터베이스를 정의해야 합니다.변경 끝

다음 다이어그램에서는 계층 예를 보여줍니다.

이 다이어그램은 계층 예를
보여줍니다. 루트는 세 개의 하위(RootTopic, Subscriptions
및 PubSubTopology)를 갖는 CMP입니다. PubSubTopology는 두 개의 하위(Broker1 및 Broker2)를 갖습니다. 각
브로커는 두 개의 하위(Eg1A 및 Eg1B)를 갖습니다.

다음 시나리오는 이 계층 구조가 실제로 작동하는 방식을 보여줍니다.

시나리오 1

UserA에는 액세스 제어 입력 항목이 없습니다. 따라서 UserA는 계층에서 임의의 오브젝트를 조작하거나 계층에 정의된 오브젝트를 볼 수 없습니다.

시나리오 2

UserB는 Eg1A에 대한 전개 입력 항목을 갖습니다. 따라서 UserB는 다음 사용권한을 갖습니다.

CMP 없음
RootTopic 없음
Subs 없음
토폴로지 보기
Broker1 보기
Eg1A 전개
Eg1B 없음
Broker2 없음
Eg2A 없음
Eg2B 없음

실행 그룹에 액세스 제어 입력 항목이 제공되었기 때문에 상위 브로커 및 토폴로지에 대한 내재된 보기 사용권한이 제공됨을 참고하십시오(그렇지 않으면 도구에서 볼 수 없음). 그러나 브로커 또는 토폴로지에 대한 이 사용자의 실제 ACL 입력 항목이 없기 때문에 기타 브로커 또는 실행 그룹에 대한 액세스는 상속되지 않습니다. 실제로 이는 UserB가 해당 브로커에 정의된 다른 실행 그룹이 있음을 알 수 있지만 이름을 포함하여 세부사항은 볼 수 없음을 의미합니다.

마찬가지로 UserB는 다른 브로커가 토폴로지 내에 존재함을 알 수 있지만 세부사항은 볼 수 없습니다. UserB는 RootTopic 또는 subscription 테이블에 대한 액세스 권한이 없습니다.

시나리오 3

UserC는 구성 관리자 프록시(CMP)에 대한 보기 입력 항목과 Broker1에 대한 전체 제어 입력 항목을 갖습니다. 따라서 UserC는 다음 사용권한을 갖습니다.

CMP 보기
RootTopic 보기
Subs 보기
토폴로지 보기
Broker1 전체
Eg1A 전체
Eg1B 전체
Broker2 보기
Eg2A 보기
Eg2B 보기

시나리오 4

UserD는 CMP에 대한 전체 제어 입력 항목과 Broker1에 대한 보기 입력 항목을 갖습니다. 따라서 UserD는 다음 사용권한을 갖습니다.

CMP 전체
RootTopic 전체
Subs 전체
토폴로지 전체
Broker1 보기
Eg1A 보기
Eg1B 보기
Broker2 전체
Eg2A 전체
Eg2B 전체

이 예에서는 Broker1에 대한 보기 입력 항목이 없어도 사용자가 전체 제어를 갖게 됨을 참고하십시오. 이렇게 보기 항목을 사용하면 일반적으로 주어진 오브젝트에 대한 전체 제어를 갖는 사용자가 일시적으로 액세스를 줄여 우발적인 삭제나 전개를 방지할 수 있으므로 유용합니다. 사용자가 오브젝트를 전체 제어해야 하는 경우, 보기 입력 항목을 제거하면 전체 제거가 복원되므로 필요한 조작을 수행한 후 보기 항목을 복원할 수 있습니다.

오브젝트에 대한 액세스 제어 항목을 변경하려면 사용자가 해당 오브젝트 또는 계층의 상위에 대한 전체 제어를 갖고 있어야 합니다. 이는 ACL 자체를 변경할 수 있는 사용권한이 앞서 설명한 그대로 작동함을 의미합니다. 단, 트리 아래로 하위 권한을 부여하여 ACL에 대한 액세스를 제거할 수는 없습니다. 그렇지 않으면 사용자가 ACL에 보기 항목을 제공할 수는 있고 제거할 수는 없기 때문에 이는 필수입니다.

Java 구성 관리자 프록시 API를 사용하거나 mqsicreateaclentry, mqsideleteaclentrymqsilistaclentry 명령을 사용하여 ACL 입력 항목을 조작할 수 있습니다.

다음 표에서는 사용자가 주어진 사용권한을 사용하여 수행할 수 있는 조치를 설명합니다.
오브젝트 사용권한 권한
토폴로지 전체 제어
  • 브로커를 작성하고 삭제합니다.
  • 집합을 작성하고 삭제합니다.
  • 집합에 브로커를 추가하고 집합에서 브로커를 제거합니다.
  • 연결을 작성하고 삭제합니다.
  • 토폴로지를 전개합니다.
  • 모든 토폴로지 보기 사용권한
보기
  • 토폴로지 구성 및 관리 하위 구성요소를 봅니다.
브로커 전체 제어
  • 실행 그룹을 작성하고 삭제합니다.
  • 모든 브로커 등록 정보를 편집합니다.
  • 모든 브로커 전개 사용권한
  • 포함된 실행 그룹의 모든 실행 그룹 전체 제어 사용권한
  • 모든 브로커 보기 사용권한
전개
  • 브로커 구성을 전개합니다.
  • 모든 브로커 보기 사용권한
보기
  • 브로커 구성 및 관리 하위 구성요소를 봅니다.
  • 토폴로지에 대한 암시적 보기 액세스
실행 그룹 전체 제어
  • 모든 실행 그룹 등록 정보를 편집합니다.
  • 실행 그룹을 시작하고 정지합니다.
  • 모든 실행 그룹 전개 사용권한
  • 모든 실행 그룹 보기 사용권한
전개
  • 실행 그룹 구성을 전개합니다.
  • 지정된 메시지 플로우를 시작하고 정지합니다.
  • 추적을 시작하고 정지합니다.
  • 모든 실행 그룹 보기 사용권한
보기
  • 실행 그룹 구성 및 관리 하위 구성요소를 봅니다.
  • 상위 브로커 및 토폴로지에 대한 암시적 보기 액세스
관련 토픽 전체 제어
  • "토픽 액세스 제어 목록" 편집
  • 모든 루트 토픽 전개 사용권한
  • 모든 루트 토픽 편집 사용권한
  • 모든 루트 토픽 보기 사용권한
전개
  • 전체 토픽 구성을 전개합니다.
  • 모든 루트 토픽 보기 사용권한
편집
  • 하위 토픽을 작성하고 삭제합니다.
  • 모든 루트 토픽 보기 사용권한
보기
  • 모든 토픽(하위 토픽 포함) 및 모든 관리 하위 구성요소를 봅니다.
Subscription 전체 제어
  • subscription 삭제
  • 모든 subscription "보기" 사용권한.
보기
  • 모든 subscription 및 모든 관리 하위 구성요소를 보거나 조회합니다.
관련 개념
런타임 자원 보안
토픽 기반 보안
관련 태스크
브로커 도메인 보안 설정
토픽 기반 보안 사용
진행 중인 전개 취소
새 토픽 추가
관련 참조
mqsicreateaclentry 명령
mqsideleteaclentry 명령
mqsilistaclentry 명령
ACL 갱신
주의사항 | 등록상표 | 다운로드 | 라이브러리 | 지원 | 피드백
Copyright IBM Corporation 1999, 2006 마지막 갱신 날짜: 5월 12, 2006
ap12520_