Beginn der Änderung

Sicherheit für Domänenkomponenten konfigurieren

Sie können Zugriffssteuerungslisten (ACLs) für die Steuerung des Zugriffs auf Laufzeitressourcen konfigurieren.

Wenn Sie die Laufzeitressourcen erstellt (beispielsweise die Broker und Ausführungsgruppen) und die Transportverbindung gesichert haben, müssen Sie die Zugriffssteuerungslisten (ACLs) konfigurieren, um zu steuern, welche Benutzer-IDs auf welche Objekte zugreifen können. Der Standardzugriff, der gilt, bis die ACLs konfiguriert wurden, ist der volle Zugriff nur für die Service-ID des Konfigurationsmanagers.

So konfigurieren Sie Ihre ACLs:

  1. Legen Sie fest, welche Objekte gesteuert werden sollen, indem Sie sich auf die Hierarchie der definierbaren ACLs beziehen.
  2. Mit dem Befehl mqsicreateaclentry können Sie Berechtigungen für die einzelnen Objekte definieren, für die ein vom Standard abweichender Zugriff erforderlich ist.
  3. Optional: Falls Sie ein Publish/Subscribe-Benutzer sind, können Sie weitere ACLs für den Zugriff auf Anwendungsebene definieren, damit für bestimmte Themen eine Veröffentlichung und Subskription möglich ist. Diese werden auch mit dem Befehl mqsicreateaclentry gesteuert, sind für die Verwaltung jedoch nicht erforderlich.
Wenn die Zugriffssteuerungslisten konfiguriert wurden, können Benutzer der Workbench und Befehle mit den Objekten in der Domäne arbeiten. Die Kontrolle, die die Benutzer über die Objekte haben (Vollständig, Anzeigen, Implementieren und Bearbeiten) hängt vom Zugriff ab, den Sie ihnen in den Einträgen der Zugriffssteuerungsliste erteilt haben.

Das folgende Diagramm stellt eine Beispielhierarchie der ACL-Einträge dar:

Dieses Diagramm stellt eine Beispielhierarchie dar. CMP ist das Stammelement, das über drei untergeordnete Elemente verfügt: RootTopic, Subscriptions, und PubSubTopology. PubSubTopology verfügt über zwei untergeordnete Elemente: Broker1 und Broker2. Jedem Broker sind wiederum zwei untergeordnete Elemente zugeordnet: Eg1A und Eg1B.

Die folgenden Beispiele machen deutlich, wie diese Hierarchie in der Praxis funktioniert.

Beispiel 1

Dem BenutzerA sind keine Zugriffsteuerungseinträge zugeordnet. Deshalb kann BenutzerA keine Objekte in der Hierarchie bearbeiten oder in der Hierarchie definierte Objekte anzeigen.

Beispiel 2

BenutzerB hat einen Zugriffssteuerungslisteneintrag, der ihm eine Implementierungsberechtigung für die Ausführungsgruppe 'Eg1A' verleiht. Dies verleiht BenutzerB implizit eine Anzeigeberechtigung für 'PubSubTopology' und 'Broker1'. BenutzerB muss in der Lage sein, 'PubSubTopology' und 'Broker1' anzuzeigen (z. B. im Message Brokers Toolkit), damit er 'Eg1A' implementieren kann.

Da BenutzerB keine Zugriffssteuerungslisteneinträge für 'PubSubTopology' oder 'Broker1' hat, übernimmt er keinen Zugriff auf die anderen Broker oder Ausführungsgruppen in der Hierarchie. In der Praxis bedeutet dies, dass BenutzerB zwar sehen kann, dass eine andere Ausführungsgruppe für 'Broker1' definiert wurde, er kann jedoch keine Details (einschließlich des Namens der Ausführungsgruppe) anzeigen. Ebenso kann BenutzerB sehen, dass sich ein weiterer Broker in der Topologie befindet, es werden jedoch keine Details angezeigt. BenutzerB hat keinen Zugriff auf 'RootTopic' oder auf 'Subscriptions' (die Subskriptionstabelle).

Mit dem folgenden Befehl wird der Zugriffssteuerungslisteneintrag für BenutzerB erstellt:
mqsicreateaclentry testcm -u UserB -a -x D -b Broker1 -e Eg1A
Mit dem Befehl mqsilistaclentry werden dann die folgenden Informationen angezeigt:
BIP1778I: userb -USER  -  D  -  Broker1/Eg1A      -  ExecutionGroup

Beispiel 3

BenutzerC hat einen Zugriffssteuerungslisteneintrag, der ihm Anzeigeberechtigung für den Konfigurationsmanager-Proxy verleiht, und einen Zugriffssteuerungslisteneintrag, der ihm die vollständige Berechtigung für 'Broker1' gibt. Diese Einträge geben dem BenutzerC folgende Berechtigungen:

CMP Anzeigen
RootTopic Anzeigen
Subs Anzeigen
Topology Anzeigen
Broker1 Vollständig
Eg1A Vollständig
Eg1B Vollständig
Broker2 Anzeigen
Eg2A Anzeigen
Eg2B Anzeigen

Mit den folgenden Befehlen werden die Zugriffssteuerungslisteneinträge für BenutzerC erstellt:
mqsicreateaclentry testcm -u UserC -a -x V -p
mqsicreateaclentry testcm -u UserC -a -x F -b Broker1
Mit dem Befehl mqsilistaclentry werden dann die folgenden Informationen angezeigt:
BIP1778I: userc                -  USER  -  V  -  ConfigManagerProxy  -  ConfigManagerProxy
BIP1778I: userc                -  USER  -  F  -  Broker1              -  Broker

Beispiel 4

BenutzerD hat einen Zugriffssteuerungslisteneintrag, der ihm die vollständige Berechtigung für den CMP verleiht, und einen Zugriffssteuerungslisteneintrag, der ihm die Anzeigeberechtigung für 'Broker1' gibt. Indem BenutzerD Anzeigeberechtigung für 'Broker1' verliehen wird, übernimmt er keine vollständige Berechtigung. Die Zugriffssteuerungslisteneinträge für die Berechtigung zum Anzeigen sind nützlich, da man über diese Einträge die Zugriffsberechtigungen für Benutzer, die normalerweise vollständige Zugriffskontrolle für ein bestimmtes Objekt haben, vorübergehend einschränken kann, um unbeabsichtigte Löschvorgänge oder Implementierungen zu vermeiden. Sie können die vollständige Zugriffskontrolle der Benutzer für ein Objekt durch Entfernen des Eintrags für die Berechtigung zum Anzeigen wiederherstellen, so dass die Benutzer die erforderlichen Operationen ausführen können, und anschließend den Eintrag für die Anzeigeberechtigung wiederherstellen. BenutzerD hat die folgenden Berechtigungen:

CMP Vollständig
RootTopic Vollständig
Subs Vollständig
Topology Vollständig
Broker1 Anzeigen
Eg1A Anzeigen
Eg1B Anzeigen
Broker2 Vollständig
Eg2A Vollständig
Eg2B Vollständig

Mit den folgenden Befehlen werden die Zugriffssteuerungslisteneinträge für BenutzerD erstellt:
mqsicreateaclentry testcm -u UserD -a -x F -p
mqsicreateaclentry testcm -u UserD -a -x V -b Broker1
Mit dem Befehl mqsilistaclentry werden dann die folgenden Informationen angezeigt:
BIP1778I: userd                -  USER  -  F  -  ConfigManagerProxy  -  ConfigManagerProxy
BIP1778I: userd                -  USER  -  V  -  Broker1              -  Broker
Mit dem folgenden Befehl können dann die Zugriffssteuerungslisteneinträge für BenutzerD gelöscht werden:
mqsideleteaclentry testcm -u UserD -a -b Broker1
Zugehörige Konzepte
Sicherheit - Übersicht
Sicherheit für Laufzeitressourcen: Zugriffssteuerungslisten
Zugehörige Tasks
Sicherheit für die Brokerdomäne einrichten
Themenspezifische Sicherheit aktivieren
Zugehörige Verweise
Sicherheitsanforerungen für Verwaltungstasks
Befehl mqsicreateaclentry
Befehl 'mqsideleteaclentry'
mqsilistaclentry-Befehl
ACL-Berechtigungen
Bemerkungen | Marken | Downloads | Bibliothek | Unterstützung | Feedback

Copyright IBM Corporation 1999, 2009Copyright IBM Corporation 1999, 2009. Alle Rechte vorbehalten.
Letzte Aktualisierung : 2009-02-17 15:49:59

ap03987_

Ende der Änderung