Themenspezifische Sicherheit aktivieren

Beginn der ÄnderungWenn Ihre Anwendungen die Publish/Subscribe-Services eines Brokers in Anspruch nehmen, können Sie einen weiteren Schutzmechanismus für die Themen einrichten, zu denen Nachrichten veröffentlicht und abonniert werden. Diese themenspezifische Sicherheit wird vom Benutzernamensserver verwaltet.Ende der Änderung

Beginn der Änderung

Bevor Sie beginnen:

Vor der Erstellung eines Benutzernamensservers sollten Sie zunächst den Abschnitt Sicherheitsüberlegungen für einen Benutzernamensserver lesen.

Ende der Änderung

Gehen Sie zur Aktivierung der themenspezifischen Sicherheit folgendermaßen vor:

  1. Erstellen Sie einen Benutzernamensserver. Weitere Informationen hierzu finden Sie unter Benutzernamensserver erstellen.
  2. Wählen Sie im Befehl mqsicreatebroker (oder im Befehl mqsichangebroker, wenn Sie einen vorhanden Broker verwenden) das Flag -j aus und legen Sie den Parameter -s auf den Namen des Warteschlangenmanagers für den Benutzernamensserver fest.
  3. Legen Sie den Parameter -s im Befehl mqsicreateconfigmgr oder mqsichangeconfigmgr auf den Namen des Warteschlangenmanagers für den Benutzernamensserver fest.
  4. Erstellen Sie ACLs für die Themen, für die zusätzliche Sicherheitsmechanismen eingerichtet werden sollen. Der Abschnitt ACL-Einträge erstellen enthält weitere Informationen hierzu.
  5. Stellen Sie sicher, dass die Servicebenutzer-ID des Brokers dazu berechtigt ist, die folgenden Aktionen auszuführen:
    1. Nachrichten aus allen Eingabewarteschlangen in einem Nachrichtenfluss abzurufen;
    2. Nachrichten in alle Ausgabe-, Antwort- und Fehlerwarteschlangen in einem Nachrichtenfluss zu stellen.
  6. Stellen Sie sicher, dass die Benutzer-IDs, unter denen Publish- und Subscribe-Anwendungen ausgeführt werden, über die Berechtigung verfügen, Nachrichten aus Warteschlangen in Nachrichtenflüssen abzurufen bzw. in Warteschlangen in Nachrichtenflüssen einzureihen:
    1. Erteilen Sie allen Publish-Anwendungen die Berechtigung, Nachrichten in die Eingabewarteschlangen des Nachrichtenflusses zu stellen.
    2. Berechtigen Sie Anwendungen, die Subskriptionen registrieren, Nachrichten in die Warteschlange SYSTEM.BROKER.CONTROL.QUEUE zu stellen.
    3. Berechtigen Sie Subscribe-Anwendungen, Nachrichten aus den Warteschlangen abzurufen, in denen Nachrichten veröffentlicht werden.
    4. Berechtigen Sie Publish- und Subscribe-Anwendungen, Nachrichten aus der Warteschlange für Antwortnachrichten abzurufen.

Wenn Sie Publish/Subscribe-Anforderungen von einem JMS-Client ausgeben, stehen zusätzliche Sicherheitsoptionen zur Verfügung. Weitere Informationen dazu finden Sie unter SSL-Authentifizierung, Datenschutzniveau und Authentifizierungsservices.

Weitere Informationen finden Sie unter Sicherheitsüberlegungen für einen Konfigurationsmanager.

Sicherheitsüberlegungen für einen Benutzernamensserver

Für diese Task müssen Sie Folgendes entscheiden:
Ist die themenspezifische Sicherheit im Broker aktiviert?
  1. Nein: Weiter mit Sicherheitsüberlegungen für einen Konfigurationsmanager.
  2. Ja: Sie benötigen einen Benutzernamensserver. Weiter mit Abschnitt Benutzerkonten festlegen, die Befehle des Benutzernamensservers ausführen können.

Benutzerkonten festlegen, die Befehle des Benutzernamensservers ausführen können

Sie müssen entscheiden, welche Berechtigungen Benutzer-IDs benötigen, die:
  • einen Benutzernamensserver erstellen, ändern, anzeigen, löschen, starten und stoppen
  • Traceinformationen anzeigen, abrufen und ändern

Beantworten Sie folgende Fragen:

  1. Ist der Benutzernamensserver auf einem Linux- oder UNIX-System installiert?
    1. Nein: Weiter mit der nächsten Frage.
    2. Beginn der ÄnderungJa: Stellen Sie sicher, dass die Benutzer-ID zur Gruppe mqbrkrs gehört.

      Weiter mit Abschnitt Benutzerkonto festlegen, das für die Service-ID des Benutzernamensservers verwendet wird.

      Ende der Änderung
  2. Führen Sie Benutzernamensserver-Befehle unter einem lokalen Windows-Konto aus?
    1. Nein: Weiter mit der nächsten Frage.
    2. Ja: Angenommen, Ihr lokales Konto befindet sich auf einem PC mit der Bezeichnung WKSTN1. Bei der Erstellung eines Benutzernamensservers müssen Sie sicherstellen, dass die Benutzer-ID in der lokalen Domäne definiert ist. Wenn Sie einen Benutzernamensserver erstellen oder starten, müssen Sie sicherstellen, dass Ihre Benutzer-ID zu WKSTN1\Administratoren gehört.

      Weiter mit Abschnitt Benutzerkonto festlegen, das für die Service-ID des Benutzernamensservers verwendet wird.

  3. Führen Sie Benutzernamensserver-Befehle unter einem Windows-Domänenkonto aus?
    1. Ja: Angenommen, Ihr PC mit dem Namen WKSTN1 gehört zur Domäne DOMAIN1. Beim Erstellen eines Benutzernamensservers beispielsweise unter Verwendung von DOMAIN1\user1 müssen Sie sicherstellen, dass DOMAIN1\user1 zu WKSTN1\Administratoren gehört.

      Weiter mit Abschnitt Benutzerkonto festlegen, das für die Service-ID des Benutzernamensservers verwendet wird.

Benutzerkonto festlegen, das für die Service-ID des Benutzernamensservers verwendet wird

Wenn Sie die Service-ID mit der Option -i im Befehl mqsicreateusernameserver oder mqsichangeusernameserver festlegen, bestimmen Sie die Benutzer-ID, unter der der Prozess der Komponente des Benutzernamensservers ausgeführt wird.

Beantworten Sie folgende Fragen:

  1. Ist der Benutzernamensserver auf einem Linux- oder UNIX-System installiert?
    1. Nein: Weiter mit der nächsten Frage.
    2. Beginn der ÄnderungJa: Stellen Sie sicher, dass die Benutzer-ID zur Gruppe mqbrkrs gehört.

      Weiter mit Abschnitt Sicherheit für die Warteschlangen des Benutzernamensservers einrichten.

      Ende der Änderung
  2. Soll der Benutzernamensserver unter einem lokalen Windows-Konto ausgeführt werden?
    1. Nein: Weiter mit der nächsten Frage.
    2. Beginn der ÄnderungJa: Stellen Sie sicher, dass Ihre Benutzer-ID über die folgenden Merkmale verfügt:
      • Sie ist in Ihrer lokalen Domäne definiert
      • Sie ist Mitglied der Gruppe mqbrkrs
      • Ihr wurde die Berechtigung Als Dienst anmelden in der lokalen Sicherheitsrichtlinie in Windows erteilt. Diese können Sie aufrufen, indem Sie Systemsteuerung > Performance and maintenance (Leistung und Verwaltung) > Verwaltung > Lokale Sicherheitsrichtlinie auswählen.

      Weiter mit Abschnitt Sicherheit für die Warteschlangen des Benutzernamensservers einrichten.

      Ende der Änderung
  3. Soll der Benutzernamensserver unter einem Windows-Domänenkonto ausgeführt werden?
    1. Ja: Angenommen, Ihr PC mit dem Namen WKSTN1 gehört zur Domäne DOMAIN1. Wenn Sie einen Benutzernamensserver ausführen (z. B. 'DOMAIN1\user1') stellen Sie Folgendes sicher:
      • Beginn der ÄnderungDer Benutzer-ID (user1) wurde die Berechtigung Als Dienst anmelden in der lokalen Sicherheitsrichtlinie in Windows erteilt. Diese können Sie aufrufen, indem Sie Systemsteuerung > Performance and maintenance (Leistung und Verwaltung) > Verwaltung > Lokale Sicherheitsrichtlinie auswählen.Ende der Änderung
      • 'DOMAIN1\user1' ist ein Mitglied von 'DOMAIN1\Domain mqbrkrs'.
      • 'DOMAIN1\Domain mqbrkrs' ist ein Mitglied von 'WKSTN1\mqbrkrs'.

      Weiter mit Abschnitt Sicherheit für die Warteschlangen des Benutzernamensservers einrichten.

Sicherheit für die Warteschlangen des Benutzernamensservers einrichten

Durch die Ausführung des Befehls mqsicreateusernameserver erhält die Gruppe mqbrkrs Zugriff auf die folgenden Warteschlangen:
  • SYSTEM.BROKER.SECURITY.QUEUE
  • SYSTEM.BROKER.MODEL.QUEUE
Nur der Broker und der Konfigurationsmanager benötigen Zugriff auf die Warteschlangen des Benutzernamensservers.

Benutzernamensserver in einer Domänenumgebung ausführen

Wenn es sich bei den Benutzern, die Publish/Subscribe-Befehle aufrufen, um Domänenbenutzer handelt, dann legen Sie die Option -d im Befehl mqsicreateusernameserver auf die Domäne fest, in der sich diese Benutzer befinden. Alle Benutzer, die Publish- und Subscribe-Befehle absetzen, müssen zu derselben Domäne gehören.

Bemerkungen | Marken | Downloads | Bibliothek | Unterstützung | Feedback

Copyright IBM Corporation 1999, 2009Copyright IBM Corporation 1999, 2009. Alle Rechte vorbehalten.
Letzte Aktualisierung : 2009-02-17 15:49:59

ap03983_