Consideraciones sobre la seguridad para el entorno de trabajo

Establezca los niveles de seguridad adecuados para el entorno de trabajo.

Tenga en cuenta los siguientes factores para decidir qué usuarios pueden efectuar acciones dentro del entorno de trabajo:

  1. ¿Está ejecutando con la detección de dominio habilitada?
  2. ¿Está ejecutando con la detección de dominio inhabilitada?
  3. Protección del canal entre el entorno de trabajo y el Gestor de configuración

Para establecer el nivel máximo de seguridad, ejecute la aplicación con el recurso de detección de dominio habilitado y con la seguridad configurada para la conexión entre el Gestor de configuración y el entorno de trabajo.

Asegúrese de que los ID de los usuarios que ejecutan el entorno de trabajo no tienen más de ocho caracteres.

¿Está ejecutando con la detección de dominio habilitada?

Ejecute la aplicación con el recurso de detección de dominio habilitado para suministrar la información de dominio con el ID de usuario de un usuario del entorno de trabajo al Gestor de configuración para mejorar la seguridad. Suponga que está ejecutando el Gestor de configuración en un sistema denominado WKSTN1, que es miembro de un dominio denominado DOMAIN1. Los usuarios de DOMAIN2 también desean utilizar el entorno de trabajo. Lleve a cabo los siguientes pasos:

  1. Añada usuarios o grupos de dominio a los nombres de grupo locales que utiliza en las ACL.
  2. Cuando cree el Gestor de configuración, especifique la opción -m en el mandato mqsicreateaclentry para asegurar que se tiene el cuenta el dominio al verificar el usuario.

Al iniciar el entorno de trabajo, éste envía automáticamente al Gestor de configuración la información del dominio para el ID de usuario. Habilite la detección de dominio en el Gestor de configuración para acceder a la información del dominio.

Si está ejecutado un Gestor de configuración con un ID de usuario y un intermediario con un ID de usuario diferente en otro sistema, es posible que vea un mensaje de error al intentar desplegar flujos de mensajes en el intermediario. Para evitar este problema:
  • Asegúrese de que el ID de usuario del intermediario es miembro de los grupos mqm y mqbrkrs.
  • Defina el ID de usuario del intermediario en el sistema en el que se ejecuta el Gestor de configuración.
  • Defina el ID de usuario del Gestor de configuración en el sistema en el que se ejecuta el intermediario.
  • Asegúrese de que todos los ID estén en minúsculas de forma que sean compatibles entre sistemas.

¿Está ejecutando con la detección de dominio inhabilitada?

Si elige inhabilitar la detección de dominio, la información de dominio para el usuario del entorno de trabajo no se suministra en la información de ID de usuario para el Gestor de configuración, por lo que se reduce la seguridad.

Puede especificar la opción -a en el mandato mqsicreateaclentrypara permitir que se verifique un usuario sin tener en cuenta el dominio.

Para establecer la detección de dominio en inhabilitada, responda a las siguientes preguntas:

  1. ¿Se obtienen los usuarios del entorno de trabajo de un dominio local?
    1. No: vaya a la siguiente pregunta.
    2. Sí: Añada los usuarios a los grupos locales que utiliza en las ACL.

      Vaya a Protección del canal entre el entorno de trabajo y el Gestor de configuración.

  2. ¿Se obtienen los usuarios del entorno de trabajo de otro dominio?
    1. Sí: Convierta el otro dominio en un dominio fiable del sistema en el que se ejecuta el Gestor de configuración; a continuación, añada los grupos y los usuarios del dominio fiable a los grupos locales del Gestor de configuración.

Desactivación de la detección de dominio del entorno de trabajo

El entorno de trabajo envía el nombre de usuario y domino al gestor de colas del Gestor de configuración, independientemente del valor de detección de dominio en el Gestor de configuración. Esto puede producir problemas al conectarse al gestor de colas debido a la seguridad necesaria al conectarse, o poner u obtener mensajes.

Para desactivar la detección de dominio en el entorno de trabajo, inicie la sesión del modo siguiente:
  1. Vaya al directorio dir_instalación\eclipse.
  2. Ejecute el kit de herramientas utilizando el mandato mqsistudio -vmargs -DDomainAware=0.
De forma alternativa, modifique el método abreviado que inicia el entorno de trabajo añadiendo -vmargs -DDomainAware=0.

Vaya a Protección del canal entre el entorno de trabajo y el Gestor de configuración

Protección del canal entre el entorno de trabajo y el Gestor de configuración

Inicio del cambioSi desea proteger la conexión, debe actualizar la configuración del canal SVRCONN entre el Gestor de configuración y el entorno de trabajo de forma que incluya las opciones de seguridad que desea.

Cuando cree el Gestor de configuración, se creará un canal SVRCONN predeterminado, SYSTEM.BKR.CONFIG; puede utilizar este canal o crear otro. Si utiliza un canal distinto, debe establecer el nombre del nuevo canal en las propiedades de conexión del dominio.

Fin del cambio
Cree y habilite una par de salidas de seguridad para que se ejecuten en los extremos del entorno de trabajo y el Gestor de configuración del canal SVRCONN que se conecta a los dos componentes. Programe estas salidas para verificar con el gestor de seguridad los usuarios del entorno de trabajo que estén en el sistema en el cual se está ejecutando el Gestor de configuración.

Si desea ver más información sobre cómo crear y habilitar salidas de seguridad, consulte Rutinas de salida de seguridad.

Avisos | Marcas registradas | Descargas | Biblioteca | Soporte | Su opinión

Copyright IBM Corporation 1999, 2009Copyright IBM Corporation 1999, 2009. Reservados todos los derechos.
Última actualización : 2009-02-16 14:31:19

ap03985_