Datenstromberechtigung

In diesem Abschnitt wird das Konzept der Verwendung der Datenstromwarteschlange in Verbindung mit Publish/Subscribe-Berechtigungsprüfungen in WebSphere MQ Publish/Subscribe beschrieben.

In WebSphere MQ Publish/Subscribe werden alle Überprüfungen von Veröffentlichungs- und Subskribierungsberechtigungen gegen die Datenstromwarteschlange durchgeführt:

Eine ähnliche Prüfung wird von WebSphere Event Broker-Brokern vorgenommen, die Berechtigung zum Subskribieren bzw. Anzeigen wird dabei jedoch nicht geprüft. Stattdessen verwendet WebSphere Event Broker Zugriffssteuerungslisten (Access Control Lists, ACLs), die Sie über die Workbench erstellen können, um die erforderlichen Berechtigungen für Einzelthemen bereitzustellen.

Bevor Sie einen WebSphere MQ Publish/Subscribe-Broker nach WebSphere Event Broker migrieren oder Ihre WebSphere MQ Publish/Subscribe-Anwendungen für die Ausführung auf einem WebSphere Event Broker migrieren, müssen Sie die folgenden Sicherheitsauswirkungen prüfen:
Aus dem folgenden Diagramm geht hervor, welche Datenstromberechtigungen erforderlich sind. Das Beispiel setzt voraus, dass die Standard-ACL für den Themenstamm für den Principal 'PublicGroup' (Öffentliche Gruppe) aktualisiert und die Berechtigungen zum Veröffentlichen, Subskribieren und persistenten Zustellen alle auf deny (Verweigern) gesetzt wurden.
Datenstromberechtigungen. Das Diagramm wird im umliegenden Text erläutert.
Bei diesem Beispiel wird davon ausgegangen, dass die folgenden Gruppen definiert wurden:
Sie müssen Berechtigungen erteilen und verweigern, indem Sie folgende ACLs konfigurieren:
  1. PDefault muss Veröffentlichungsberechtigung für das Stammverzeichnis und SDefault muss Subskribierungsberechtigung für das Stammverzeichnis erteilt werden.
  2. PDefault muss Veröffentlichungsberechtigung für $SYS/STREAM/ und SDefault muss Subskribierungsberechtigung für $SYS/STREAM/ verweigert werden.

    Diese Einstellungen stellen sicher, dass Publisher und Subskribenten des Standarddatenstroms nicht in der Lage sind, in anderen Datenströmen zu veröffentlichen oder diese zu subskribieren, ohne dass dies explizit in einer ACL, die die relevante Einstellung überschreibt, festgelegt ist.

  3. PStreamX muss Veröffentlichungsberechtigung für $SYS/STREAM/StreamX/ und SStreamX muss Subskribierungsberechtigung für $SYS/STREAM/StreamX/ erteilt werden.

    Diese Einstellungen überschreiben alle Einstellungen für übergeordnete Themen und begrenzen die Veröffentlichungs- und Subskribierungsberechtigung auf Benutzer innerhalb dieser spezifischen Gruppen.

  4. PStreamY muss Veröffentlichungsberechtigung für $SYS/STREAM/StreamY/ und SStreamY muss Subskribierungsberechtigung für $SYS/STREAM/StreamY/ erteilt werden.

    Diese Einstellungen überschreiben alle Einstellungen für übergeordnete Themen und begrenzen die Veröffentlichungs- und Subskribierungsberechtigung auf Benutzer innerhalb dieser spezifischen Gruppen.

Sie haben die Möglichkeit, Ausnahmen zu diesen Berechtigungen zu konfigurieren, indem Sie am geeigneten Punkt eine ACL einfügen. Wenn Sie beispielsweise Bereitstellern für den Standarddatenstrom (PDefault) auch Veröffentlichungsberechtigung für StreamX erteilen möchten, müssen Sie eine explizite ACL an Punkt (3) erstellen, um diese Berechtigung zu erteilen. Durch diese Einstellung wird die Berechtigungsverweigerung an Punkt (2) überschrieben. In diesem Szenario sind Benutzer in PDefault weiterhin nicht in der Lage, Veröffentlichungen in StreamY vorzunehmen.

Zugehörige Konzepte
Sicherheit für Laufzeitressourcen: Zugriffssteuerungslisten
Zugehörige Tasks
Subskriptionen einrichten
Zugehörige Verweise
MQRFH2-Header
Bemerkungen | Marken | Downloads | Bibliothek | Unterstützung | Feedback

Copyright IBM Corporation 1999, 2009Copyright IBM Corporation 1999, 2009. Alle Rechte vorbehalten.
Letzte Aktualisierung : 2009-02-17 15:50:03

aq18560_