ストリーム権限

このトピックでは、WebSphere® MQ パブリッシュ/サブスクライブでパブリッシュおよびサブスクライブの権限検査と共に使用する、 ストリーム・キューの使用方法について説明します。

WebSphere MQ パブリッシュ/サブスクライブでは、パブリッシュおよびサブスクライブの権限検査すべてはストリーム・キューに対して行われます。
  • パブリッシュ元のアプリケーションには、メッセージをストリーム・キューに入れるための権限が必要です。
  • さらに WebSphere MQ パブリッシュ/サブスクライブ・ブローカーは、ストリーム・キュー上をブラウズする サブスクライブ元のアプリケーションの権限も検査します。
  • サブスクライブ元のアプリケーションには、パブリケーションを受け取るために指定したキューにメッセージを書き込む権限が必要です。

同様の検査は WebSphere Event Broker ブローカーによっても行われますが、その場合にはサブスクライブ、ブラウズ、 権限が検査されません。 その代わりに WebSphere Event Brokerワークベンチを使用して作成できるアクセス制御リスト (ACL) を使用して、個々のトピックに必要な権限を与えます。

WebSphere MQ パブリッシュ/サブスクライブ・ブローカーを WebSphere Event Broker にマイグレーションする前、 または WebSphere MQ パブリッシュ/サブスクライブ・アプリケーションが WebSphere Event Broker で稼働するようにマイグレーションする前に、以下のセキュリティー上の注意事項を検討してください。
  • メッセージをストリームまたはパブリケーション・キューに書き込む権限が WebSphere MQ によって検査され続けるので、 ブローカーをトピック・セキュリティーを使用可能にして実行していなくても、 パブリッシュ元のアプリケーションは同じ検査を受けます。

    しかし、パブリッシャーはストリームと同じ名前のキューに書き込む必要がなくなるため、 ストリーム・パブリケーションは任意の入力キュー上の WebSphere Event Broker によって処理することができます。 そのため、すべてのストリームに対して、対応するトピック・レベル修飾子を使用して 同等の ACL をセットアップしてください。

  • WebSphere Event Broker ブローカーは、サブスクライブ元のアプリケーションに ストリーム・キューに対するブラウズ権限があることを検査しません。 その代わりに、WebSphere Event Broker モデルは、デフォルト・ストリームの一部ではないすべてのトピックに固有の接頭部 $SYS/STREAM/<streamname>/ を付けてストリームを作成します。 この接頭部により、ストリームの区分化特性が保たれ、さらにストリームに特定の ACL のセットアップが可能になります。 デフォルトのストリームのトピックはブローカーによって変更されないので、 ルート・トピックを使用してデフォルト・ストリーム・トピックの権限を指定できます。
下の図は、必要なストリーム権限を示しています。 この例では、プリンシパル PublicGroup のトピック・ルートにあるデフォルトの ACL を、パブリッシュ、 サブスクライブ、および永続配信の権限すべてを deny に設定して更新していると想定します。
ストリーム権限。この図については、前後のテキストで説明されています。
この例を使用して、以下のグループが定義されていると想定します。
  • PDefault: デフォルト・ストリームにパブリッシュする許可を持つユーザーのグループ
  • SDefault: デフォルト・ストリームにサブスクライブする許可を持つユーザーのグループ
  • PStreamX: StreamX にパブリッシュする許可を持つユーザーのグループ
  • SStreamX: StreamX にサブスクライブする許可を持つユーザーのグループ
  • PStreamY: StreamY にパブリッシュする許可を持つユーザーのグループ
  • SStreamY: StreamY にサブスクライブする許可を持つユーザーのグループ
ACL を以下のとおりに設定して、権限を認可または拒否しなければなりません。
  1. PDefault にはルートに対するパブリッシュ権限を付与する必要があり、 SDefault にはルートに対するサブスクライブ権限を付与する必要があります。
  2. PDefault には $SYS/STREAM/ に対するパブリッシュ権限を拒否する必要があり、 SDefault には $SYS/STREAM/ に対するサブスクライブ権限を拒否する必要があります。

    これらの設定値は、デフォルト・ストリーム上のパブリッシャーおよびサブスクライバーが 関連する設定値をオーバーライドする明示的な ACL のない他のストリームにパブリッシュまたは サブスクライブできないようにします。

  3. PStreamX には $SYS/STREAM/StreamX/ に対するパブリッシュ権限が必要であり、 SStreamX には $SYS/STREAM/StreamX/ に対するサブスクライブ権限を付与する必要があります。

    これらの設定値は親トピックでのあらゆる設定をオーバーライドして、 パブリッシュおよびサブスクライブの活動をこれらの特定のグループ内にあるユーザーに制限します。

  4. PStreamY には $SYS/STREAM/StreamY/ に対するパブリッシュ権限が必要であり、 SStreamY には $SYS/STREAM/StreamY/ に対するサブスクライブ権限を付与する必要があります。

    これらの設定値は親トピックでのあらゆる設定をオーバーライドして、 パブリッシュおよびサブスクライブの活動をこれらの特定のグループ内にあるユーザーに制限します。

この状態に対して例外をセットアップしたい場合、 適切なポイントで ACL を紹介してそれを行うことができます。 例えば、パブリッシャーに StreamX にパブリッシュするための デフォルト・ストリーム PDefault に対する権限を認可したい場合、 明示的な ACL をポイント (3) で作成する必要があります。 この設定は例示 (2) での権限の否認をオーバーライドします。 このシナリオでは、ユーザー PDefault はまだ StreamY に対してパブリッシュすることができません。

関連概念
ランタイム・リソースのセキュリティー: アクセス制御リスト
関連タスク
ドメイン・コンポーネントのセキュリティーの構成
パブリッシュ
サブスクライブ
関連資料
MQRFH2 ヘッダー
特記事項 | 商標 | ダウンロード | ライブラリー | サポート | フィードバック

Copyright IBM Corporation 1999, 2009Copyright IBM Corporation 1999, 2009. All Rights Reserved.
最終更新 : 2009-02-13 10:23:44

aq19820_