Themenbasierte Sicherheit aktivieren

Wenn von Ihren Anwendungen die Publish/Subscribe-Services eines Brokers verwendet werden, können Sie für Themen, für die Nachrichten veröffentlicht und subskribiert werden, eine zusätzliche Sicherheitsebene anwenden. Diese Themensicherheit wird vom Benutzernamensserver verwaltet.

Führen Sie dazu die folgenden Schritte aus:

  1. Lesen Sie vor der Erstellung eines Benutzernamensservers die Informationen unter Sicherheit für einen Benutzernamensserver planen.
  2. Erstellen Sie einen Benutzernamensserver. Informationen dazu finden Sie unter Benutzernamensserver erstellen.
  3. Wählen Sie das Flag -j aus, und legen Sie den Parameter -s auf den Namen des Warteschlangenmanagers für den Benutzernamensserver im Befehl mqsicreatebroker oder mqsichangebroker fest.
  4. Legen Sie den Parameter -s im Befehl mqsicreateconfigmgr oder mqsichangeconfigmgr auf den Namen des Warteschlangenmanagers für den Benutzernamensserver fest.
  5. Erstellen Sie Zugriffssteuerungslisten für die Themen, für die zusätzliche Sicherheit erforderlich ist. Der Abschnitt ACL-Einträge erstellen enthält weitere Informationen hierzu.
  6. Stellen Sie sicher, dass die Servicebenutzer-ID des Brokers über folgende Berechtigungen verfügt:
    1. Abrufen von Nachrichten aus jeder Eingabewarteschlange, die in einem Nachrichtenfluss enthalten ist.
    2. Einreihen von Nachrichten in jede Warteschlange für Ausgabe-, Antwort- und Fehlernachrichten, die in einem Nachrichtenfluss enthalten ist.
  7. Stellen Sie sicher, dass die Benutzer-IDs, unter denen Publish/Subscribe-Anwendungen ausgeführt werden, über ausreichende Berechtigungen zum Einreihen und Abrufen von Warteschlangen des Nachrichtenflusses verfügen:
    1. Autorisieren Sie Publish-Anwendungen für das Einreihen von Nachrichten in der Eingabewarteschlange des Nachrichtenflusses.
    2. Autorisieren Sie Anwendungen, die Subskriptionen registrieren, für das Einreihen in der Warteschlange SYSTEM.BROKER.CONTROL.QUEUE.
    3. Autorisieren Sie Subscribe-Anwendungen für das Abrufen aus der Warteschlange, in der Nachrichten veröffentlicht werden.
    4. Autorisieren Sie Publish/Subscribe-Anwendungen für das Abrufen der Antwortwarteschlange.

Wenn Sie Publish/Subscribe-Anforderungen von einem JMS-Client aufrufen, stehen zusätzliche Sicherheitsoptionen zur Verfügung. Weitere Informationen dazu finden Sie unter SSL-Authentifizierung, Datenschutzniveau und Authentifizierungsservices.

Weitere Informationen finden Sie unter Sicherheit für einen Konfigurationsmanager planen.

Sicherheit für einen Benutzernamensserver planen

Beenden Sie diese Task durch die Beantwortung folgender Frage:
Wurde die Themensicherheit auf Ihrem Broker aktiviert?
  1. Nein: Weiter mit Sicherheit für einen Konfigurationsmanager planen.
  2. Ja: Ein Benutzernamensserver ist erforderlich. Weitere Informationen finden Sie unter Benutzer für das Ausführen von Benutzernamensserver-Befehlen berechtigen.

Benutzer für das Ausführen von Benutzernamensserver-Befehlen berechtigen

Während dieser Task wird entschieden, welche Berechtigungen für Benutzer-IDs erforderlich sind, die folgende Aktionen ausführen:
  • Erstellen, Ändern, Auflisten, Löschen, Starten und Stoppen eines Benutzernamensservers
  • Anzeigen, Abrufen und Ändern von Trace-Informationen

Beantworten Sie folgende Fragen:

  1. Ist der Benutzernamensserver auf einem Linux- oder UNIX-System installiert?
    1. Nein: Mit der nächsten Frage fortfahren.
    2. Ja: Die Informationen zur Ausführung von Benutzernamensserver-Befehlen unter Linux und UNIX sind noch nicht verfügbar.

      Weitere Informationen finden Sie unter Benutzeraccounts für die Verwendung der Service-ID des Benutzernamensservers berechtigen.

  2. Führen Sie Benutzernamensserver-Befehle unter einem lokalen Windows-Benutzerkonto aus?
    1. Nein: Mit der nächsten Frage fortfahren.
    2. Ja: Angenommen, Ihr lokales Benutzerkonto befindet sich auf einem PC mit der Bezeichnung WKSTN1. Stellen Sie beim Erstellen eines Benutzernamensservers sicher, dass Ihre Benutzer-ID in Ihrer lokalen Domäne definiert ist. Stellen Sie beim Erstellen oder Starten eines Benutzernamensservers sicher, dass Ihre Benutzer-ID Mitglied von WKSTN1\Administratoren ist.

      Weitere Informationen finden Sie unter Benutzeraccounts für die Verwendung der Service-ID des Benutzernamensservers berechtigen.

  3. Führen Sie Benutzernamensserver-Befehle unter einem Windows-Domänenkonto aus?
    1. Ja: Angenommen, Ihr PC mit dem Namen WKSTN1 gehört zur Domäne DOMAIN1. Stellen Sie beim Erstellen eines Benutzernamensservers mit Hilfe von beispielsweise 'DOMAIN1\user1' sicher, dass 'DOMAIN1\user1' ein Mitglied von WKSTN1\Administratoren ist.

      Weitere Informationen finden Sie unter Benutzeraccounts für die Verwendung der Service-ID des Benutzernamensservers berechtigen.

Benutzeraccounts für die Verwendung der Service-ID des Benutzernamensservers berechtigen

Wenn Sie die Service-ID mit der Option -i im Befehl mqsicreateusernameserver oder mqsichangeusernameserver festlegen, bestimmen Sie die Benutzer-ID, unter der der Prozess der Komponente des Benutzernamensservers ausgeführt wird.

Beantworten Sie folgende Fragen:

  1. Ist der Benutzernamensserver auf einem Linux- oder UNIX-System installiert?
    1. Nein: Mit der nächsten Frage fortfahren.
    2. Ja: Die Informationen zur Ausführung des Benutzernamensservers unter Linux und UNIX sind noch nicht verfügbar.

      Weitere Informationen finden Sie unter Sicherheit für die Warteschlangen des Benutzernamensservers festlegen

  2. Soll Ihr Benutzernamensserver unter einem lokalen Windows-Benutzerkonto ausgeführt werden?
    1. Nein: Mit der nächsten Frage fortfahren.
    2. Ja: Stellen Sie sicher, dass Ihre Benutzer-ID in Ihrer lokalen Domäne definiert und ein Mitglied von mqbrkrs ist.

      Weitere Informationen finden Sie unter Sicherheit für die Warteschlangen des Benutzernamensservers festlegen

  3. Soll Ihr Benutzernamensserver unter einem Windows-Domänenkonto ausgeführt werden?
    1. Ja: Angenommen, Ihr PC mit dem Namen WKSTN1 gehört zur Domäne DOMAIN1. Stellen Sie beim Ausführen eines Benutzernamensservers mit Hilfe von beispielsweise 'DOMAIN1\user1' sicher, dass 'DOMAIN1\user1' ein Mitglied von DOMAIN1\Domain mqbrkrs, und DOMAIN1\Domain mqbrkrs ein Mitglied von WKSTN1\mqbrkrs ist.

      Weitere Informationen finden Sie unter Sicherheit für die Warteschlangen des Benutzernamensservers festlegen.

Sicherheit für die Warteschlangen des Benutzernamensservers festlegen

Beim Ausführen des Befehls mqsicreateusernameserver erhält die Gruppe mqbrkrs Zugriffsberechtigung für die folgenden Warteschlangen:
  • SYSTEM.BROKER.SECURITY.QUEUE
  • SYSTEM.BROKER.MODEL.QUEUE
Es sind nur für den Broker und den Konfigurationsmanager Zugriffsberechtigungen auf die Warteschlangen des Benutzernamensservers erforderlich.
Weitere Informationen finden Sie unter Benutzernamensserver in einer Domänenumgebung ausführen.

Benutzernamensserver in einer Domänenumgebung ausführen

Wenn es sich bei den Benutzern, die Publish/Subscribe-Befehle aufrufen, um Domänenbenutzer handelt, dann legen Sie die Option -d im Befehl mqsicreateusernameserver auf die Domäne fest, in der sich diese Benutzer befinden. Alle Benutzer, die Publish/Subscribe-Befehle aufrufen, müssen sich in der gleichen Domäne befinden.

Bemerkungen | Marken | Downloads | Bibliothek | Unterstützung | Rückmeldung
Copyright IBM Corporation 1999, 2006 Letzte Aktualisierung: 18.05.2006
ap03983_