Habilitación de SSL para nodos Real-time

Utilice servicios de autenticación opcionales entre los clientes JMS y los nodos Real-timeInput y Real-timeOptimizedFlow.

En una configuración predeterminada, los servicios de autenticación SSL están inhabilitados.

Para configurar el producto de forma que utilice los servicios de autenticación SSL, realice los pasos siguientes:

Configuración del servidor de nombres de usuario

El Servidor de nombres de usuario distribuye a los intermediarios las contraseñas que son necesarias para soportar estos protocolos de autenticación.

Para configurar el Servidor de nombres de usuario de forma que soporte la autenticación, especifique los dos parámetros siguientes en el mandato mqsicreateusernameserver o el mandato mqsichangeusernameserver:

  • AuthProtocolDataSource describe la ubicación de un archivo local que contiene la información que es necesaria para soportar los protocolos de autenticación.
  • El indicador -j indica si el archivo al que apunta el parámetro AuthProtocolDataSource contiene información de grupo y de miembros de grupo además de la información de contraseña.

Utilice el indicador -d en el mandato mqsichangeusernameserver para inhabilitar esta opción.

Configuración de un intermediario

Configure un intermediario para soportar los servicios de autenticación de WebSphere Event Broker. Especifique dos parámetros de autenticación y control de acceso y utilice el entorno de trabajo para configurar los nodos Real-timeInput apropiados y los conjuntos de protocolos que se deben soportar en el intermediario.

Los siguientes pasos indican cómo llevar esto a cabo.

  1. Vaya a la Perspectiva de Desarrollo de aplicaciones de intermediario.
  2. Para cada flujo de mensajes de la Topología de flujos de mensajes:
    1. Seleccione el nodo Real-timeInput o Real-timeOptimizedFlow para abrir la vista Propiedades o pulse el botón derecho del ratón en el nodo y pulse Propiedades para abrir el diálogo Propiedades. Se visualizan las propiedades de nodo.
    2. Seleccione Autenticación.
  3. Para cada intermediario de la topología de intermediarios:
    1. Seleccione el intermediario para abrir la vista Propiedadeso pulse el botón derecho del ratón en el intermediario y pulse Propiedades para abrir el diálogo Propiedades. Se visualizan las propiedades de intermediario.
    2. Entre el valor necesario en Tipo de protocolo de autenticación.

      Elija cualquier combinación de las opciones P, M, S y R; por ejemplo, S, SR, RS, R, PS, SP, PSR, SRM, MRS y RSMP son combinaciones válidas de opciones.

      El orden en que se especifican las opciones es significativo; el intermediario elige la primera opción que soporta el cliente. Si desea que el intermediario soporte siempre el protocolo más fuerte que el cliente soporta, elija RSMP.

    3. Si ha elegido S o R como una de las opciones en Tipo de protocolo de autenticación, especifique el Nombre de archivo de conjunto de claves SSL y el Nombre de archivo de contraseñas SSL.
    4. Pulse Aceptar.
    5. Utilice el mandato mqsicreatebroker o mqsichangebroker, con los dos parámetros siguientes, para configurar el intermediario:
      UserNameServerQueueManagerName (-s)
      Este parámetro define el nombre del gestor de colas que está asociado con el Servidor de nombres de usuario. Especifique este parámetro si necesita servicios de autenticación y/o servicios de control de acceso de publicación/suscripción.
      Indicador de control de acceso de Publicación/Suscripción (-j)
      Establezca este indicador además de especificar el parámetro UserNameServerQueueManagerName si desea utilizar servicios de control de acceso de publicación/suscripción.

      La utilización de los servicios de autenticación en el intermediario está habilitada a nivel de nodo de entrada IP, no por un parámetro en estos mandatos.

Archivos de contraseñas de ejemplo

Se proporcionan dos archivos de ejemplo, password.dat y pwgroup.dat, con WebSphere Event Broker.

  • pwgroup.dat es un archivo de ejemplo que puede utilizarse cuando se establece el indicador -j.
  • password.dat es un archivo de ejemplo que puede utilizarse como valor predeterminado.
El archivo password.dat tiene el diseño siguiente:
# Este es un archivo de contraseñas.

# Cada línea contiene dos señales necesarias delimitadas por
# comas. La primera es un ID de usuario y la segunda es la
# contraseña de dicho usuario.

#NOMBREUSUARIO CONTRASEÑA
========================
subscriber,subpw
admin,adminpw
publisher,pubpw 

Este archivo complementa la información de usuario y grupo recuperada por el Servidor de nombres de usuario del sistema operativo. Los nombres de usuarios que están definidos en el archivo, pero no están definidos en el sistema operativo, se tratan como desconocidos en el dominio de intermediarios. A los nombres de usuarios que están definidos en el sistema operativo, pero no en el archivo de contraseñas, se les deniega el acceso al sistema.

El archivo pwgroup.dat contiene información de grupo además de información de usuarios y contraseñas. Cada entrada de usuario incluye una lista de nombres de grupos que especifican los grupos que contienen al usuario.

El archivo pwgroup.dat tiene el diseño siguiente:
#Este es un archivo de contraseñas.
# Cada línea contiene dos o más señales necesarias delimitadas por
La primera es un ID de usuario y la segunda es la
#contraseña de dicho usuario. Todas las señales siguientes 
#especifican el conjunto de grupos a los que pertenece el usuario.  

#NOMBREUSUARIO CONTRASEÑA GRUPOS 
subscriber,subpw,group1,group2,group3 
admin,adminpw,group2 
publisher,pubpw,group2,group4 
Como se indica arriba, este archivo puede usarse para proporcionar el único origen de la información de usuario, grupo y contraseña para el dominio de intermediarios.

Para desplegar información de usuarios y contraseñas actualizada en la red de intermediario si esta información se extrae de un archivo de sistema operativo, detenga el Servidor de nombres de usuario y los intermediarios, actualice el archivo y, a continuación, reinicie el Servidor de nombres de usuario y los intermediarios.

Si las contraseñas se extraen del sistema operativo, las actualizaciones se distribuyen automáticamente a los intermediarios. Utilice las herramientas normales de gestión del sistema operativo para cambiar usuarios o contraseñas.

Autenticación en el cliente JMS

Para aplicaciones cliente que utilizan clases WebSphere MQ para Java Message Service Versión 5.3 antes de CSD4, la aplicación cliente tiene siempre un nivel de protocolo de autenticación de PM. La aplicación cliente y el intermediario negocian la elección del protocolo para una sesión. Cuando el intermediario tiene soporte para ambos protocolos (es decir, cuando se ha establecido PM o MP en la definición de un intermediario del entorno de trabajo, se elige el primer protocolo especificado en el entorno de trabajo.

Para aplicaciones cliente que utilizan clases WebSphere MQ para Java Message Service Versión 5.3, CSD10 (más el APAR IC47044) o CSD11 o posterior, o las clases de WebSphere MQ para Java Message Service Versión 6.0 o posterior, la aplicación cliente soporta dos niveles de autenticación.

Puede configurar TopicConnectionFactory para que soporte una modalidad de autenticación MQJMS_DIRECTAUTH_BASIC o una modalidad de autenticación MQJMS_DIRECTAUTH_CERTIFICATE. La modalidad de autenticación MQJMS_DIRECTAUTH_BASIC es equivalente a un nivel de PM y la modalidad de autenticación MQJMS_DIRECTAUTH_CERTIFICATE es equivalente a un nivel de SR.

Si ha configurado satisfactoriamente servicios de autenticación para un nodo Real-timeInput, una aplicación cliente JMS debe especificar sus credenciales al crear una conexión. Si desea realizar una conexión para esta configuración, la aplicación cliente JMS proporciona una combinación de ID de usuario y contraseña en el método TopicConnectionFactory.createTopicConnection; por ejemplo:
factory.createTopicConnection("user1", "user1pw");

Si la aplicación no especifica estas credenciales o las especifica incorrectamente, recibe una excepción derivada de JMS que contiene el texto de error de MQJMS.

Avisos | Marcas registradas | Descargas | Biblioteca | Soporte | Su opinión

Copyright IBM Corporation 1999, 2009Copyright IBM Corporation 1999, 2009. Reservados todos los derechos.
Última actualización : 2009-02-16 14:31:20

ap12233_