Zwischen JMS-Clients und Real-timeInput- und Real-timeOptimizedFlow-Knoten können optionale Authentifizierungsservices verwendet werden.
In einer Standardkonfiguration sind die Authentifizierungsservices inaktiviert.
So konfigurieren Sie das Produkt für die Verwendung der SSL-Authentifizierungsservices:
Der Benutzernamensserver verteilt an die Broker Kennwörter, die zur Unterstützung dieser Authentifizierungsprotokolle erforderlich sind.
Um den Benutzernamensserver so zu konfigurieren, dass eine Authentifizierung unterstützt wird, stehen für die Befehle mqsicreateusernameserver oder mqsichangeusernameserver die folgenden beiden Parameter zur Verfügung:
Mit dem Flag -d des Befehls mqsichangeusernameserver wird diese Option inaktiviert.
Konfigurieren Sie einen Broker, sodass er die Authentifizierungsservices von WebSphere Ereignisbroker unterstützt. Sie müssen zwei Parameter für die Authentifizierung und die Zugriffssteuerung angeben und die Workbench verwenden, um die entsprechenden Real-timeInput-Knoten und die Protokolle zu konfigurieren, die im Broker unterstützt werden sollen.
Gehen Sie dazu wie folgt vor:
Zusammen mit WebSphere Event Broker werden die beiden Beispieldateien password.dat und pwgroup.dat geliefert.
# Dies ist eine Kennwortdatei. # Jede Zeile enthält zwei erforderliche Token, die durch Kommas # getrennt sind. Das erste Token ist eine Benutzer-ID, das zweite # das Kennwort dieses Benutzers. #USERNAME PASSWORD ======================== subscriber,subpw admin,adminpw publisher,pubpw
Der Inhalt dieser Datei ergänzt die Benutzer- und Gruppeninformationen, die vom Benutzernamensserver aus dem Betriebssystem abgerufen werden. Die Benutzernamen, die in der Datei, aber nicht im Betriebssystem definiert sind, werden von der Brokerdomäne als unbekannt eingestuft. Benutzernamen, die im Betriebssystem, nicht aber in der Kennwortdatei definiert sind, erhalten keinen Zugriff auf das System.
Die Datei pwgroup.dat enthält Gruppeninformationen sowie Benutzer- und Kennwortinformationen. Zu jedem Benutzereintrag gehört eine Liste mit Gruppennamen, bei denen es sich um die Gruppen handelt, zu denen der Benutzer gehört.
# Dies ist eine Kennwortdatei. #Jede Zeile enthält mindestens zwei erforderliche Token, die durch #Kommas getrennt sind. Das erste Token ist eine Benutzer-ID, das zweite #ein Kennwort. Alle weiteren Token geben die Gruppen an, zu denen #der Benutzer gehört. #USERNAME PASSWORD GROUPS subscriber,subpw,group1,group2,group3 admin,adminpw,group2 publisher,pubpw,group2,group4Wie oben schon erwähnt, kann diese Datei als einzige Quelle für die Benutzer-, Gruppen- und Kennwortinformationen für die Brokerdomäne verwendet werden.
Wenn die Benutzer- und Kennwortinformationen aus dem Betriebssystem abgerufen wurden und diese aktualisierten Informationen nun im Brokernetz implementiert werden sollen, müssen Sie den Benutzernamensserver und die Broker stoppen, die Datei aktualisieren und anschließend den Benutzernamensserver und die Broker erneut starten.
Wenn die Kennwörter aus dem Betriebssystem abgerufen wurden, werden Änderungen vom Broker automatisch verteilt. Benutzer oder Kennwörter werden mit den üblichen Managementtools des Betriebssystems geändert.
Für Clientanwendungen, die WebSphere MQ-Klassen für Java Message Service Version 5.3 vor CSD4 verwenden, hat die Clientanwendung immer den Authentifizierungsprotokolltyp 'PM'. Die Clientanwendung und der Broker vereinbaren das Protokoll, das für eine Sitzung verwendet wird. Unterstützt der Broker beide Protokolle (wurde in der Workbench-Definition eines Brokers also 'PM' oder 'MP' gesetzt), wird das Protokoll ausgewählt, das in der Workbench zuerst angegeben wurde.
Für Clientanwendungen, die WebSphere MQ-Klassen für Java Message Service Version 5.3, CSD10 (plus APAR IC47044) bzw. CSD11 oder höher oder WebSphere MQ-Klassen für Java Message Service Version 6.0 oder höher verwenden, unterstützt die Clientanwendung zwei Authentifizierungsstufen.
Es besteht die Möglichkeit, eine TopicConnectionFactory zur Unterstützung des Authentifizierungsmodus MQJMS_DIRECTAUTH_BASIC oder MQJMS_DIRECTAUTH_CERTIFICATE zu konfigurieren. MQJMS_DIRECTAUTH_BASIC entspricht der Authentifizierungsstufe 'PM', MQJMS_DIRECTAUTH_CERTIFICATE der Authentifizierungsstufe 'SR'.
factory.createTopicConnection("user1", "user1pw");
Wurden keine oder ungültige Berechtigungsnachweise angegeben, empfängt die Anwendung eine eingebettete JMS-Ausnahme mit dem MQJMS-Fehlertext.