Ativando a Segurança Baseada em Tópicos

Início da mudançaSe seus aplicativos utilizarem os serviçosPublicação/Assinatura de um intermediário, você pode aplicar um nível adicional de segurança aos tópicos nos quais mensagens são publicadas e assinadas. Esta segurança baseada em tópicos é gerenciada peloServidor de Nome de Usuário.Fim da mudança

Início da mudança

Antes de começar:

Antes de criar um Servidor de Nome de Usuário, consulte Considerando a segurança para um Servidor de Nome de Usuário.

Fim da mudança

Para ativar a segurança baseada em tópicos, conclua as seguintes etapas:

  1. Crie um Servidor de Nome de Usuário. Para obter mais informações, consulte Criando um Servidor de Nome de Usuário.
  2. No comando mqsicreatebroker (ou no comando mqsichangebroker, se você estiver utilizando um intermediário existente), selecione o sinalizador -j e configure o parâmetro -s para o nome do gerenciador de filas para o Servidor de Nome de Usuário .
  3. Defina o parâmetro -s no comando mqsicreateconfigmgr ou mqsichangeconfigmgr para o nome do gerenciador de filas para o Servidor de Nome de Usuário.
  4. Crie ACLs para os tópicos que exijam segurança adicional. Para obter informações adicionais, consulte Criando Entradas de ACL.
  5. Certifique-se de que o ID do usuário de serviço do intermediário tenha autoridade para desempenhar as seguintes ações:
    1. Obter mensagens de cada fila de entrada incluída em um fluxo de mensagens
    2. Colocar mensagens em qualquer fila de saída, resposta e falha incluída em um fluxo de mensagens.
  6. Certifique-se de que os IDs dos usuários sob os quais os aplicativos de publicação e assinatura são executados tenham autoridade suficiente para colocar e receber mensagem das filas do fluxo de mensagens:
    1. Autorize os aplicativos de publicação a colocarem mensagens na fila de entrada do fluxo de mensagens.
    2. Autorize os aplicativos que registram assinaturas a colocar mensagens na fila SYSTEM.BROKER.CONTROL.QUEUE.
    3. Autorize aplicativos de assinatura a obter mensagens da fila na qual as mensagens são publicadas.
    4. Autorize os aplicativos de publicação e assinatura a obter mensagens da fila de resposta.

Se estiver emitindo pedidos do Publicação/Assinatura a partir de um cliente JMS, opções de segurança adicionais estarão disponíveis. Consulte Autenticação SSL, Qualidade de Proteção e Serviços de Autenticação.

Vá para Considerando a segurança para um Configuration Manager.

Considerando a segurança para um Servidor de Nome de Usuário

Execute esta tarefa respondendo às seguinte questão:
Você ativou a segurança baseada em tópico em seu intermediário?
  1. Não: Vá para Considerando a segurança para um Configuration Manager.
  2. Sim: Você irá precisar de Servidor de Nome de Usuário. Vá para Decidindo quais contas de usuário podem executar comandos do Servidor de Nome de Usuário.

Decidindo quais contas de usuário podem executar comandos do Servidor de Nome de Usuário

Durante esta tarefa você decide quais permissões são necessárias para os IDs de usuários que:
  • Criar, alterar, listar, excluir, iniciar e interromper um Servidor de Nome de Usuário
  • Exibir, recuperar e alterar informações de rastreio.

Responda as seguintes perguntas:

  1. O seu Servidor de Nome de Usuário está instalado em um sistema operacional Linux ou UNIX?
    1. Não: Vá para a próxima pergunta.
    2. Início da mudançaSim: Assegure que o ID do usuário seja um membro do grupo mqbrkrs.

      Vá para Decidindo qual conta de usuário utilizar para o ID de serviço do Servidor de Nome de Usuário.

      Fim da mudança
  2. Você está executando comandos doServidor de Nome de Usuário sob uma conta local do Windows?
    1. Não: Vá para a próxima pergunta.
    2. Sim: Suponha que sua conta local esteja em um computador chamado, por exemplo, WKSTN1. Quando criar umServidor de Nome de Usuário, assegure-se de que seu ID de usuário está definido em seu domínio local. Quando criar ou iniciar um Servidor de Nome de Usuário, assegure-se de que seu ID de usuário seja um membro de WKSTN1\Administrators.

      Vá para Decidindo qual conta de usuário utilizar para o ID de serviço do Servidor de Nome de Usuário.

  3. Você está executando comandos doServidor de Nome de Usuário sob uma conta de domínio doWindows?
    1. Sim: Suponha que seu computador chamado, por exemplo, WKSTN1, é um membro de um domínio chamado DOMAIN1. Quando criar um Servidor de Nome de Usuário utilizando, por exemplo, DOMAIN1\user1, assegure-se de que DOMAIN1\user1 seja um membro de WKSTN1\Administrators.

      Vá para Decidindo qual conta de usuário utilizar para o ID de serviço do Servidor de Nome de Usuário.

Decidindo qual conta de usuário utilizar para o ID de serviço do Servidor de Nome de Usuário

Quando você define o ID de serviço com a opção -i no comando mqsicreateusernameserver ou mqsichangeusernameserver, você determina o ID do usuário sob o qual o processo do componente Servidor de Nome de Usuário é executado.

Responda as seguintes perguntas:

  1. O seu Servidor de Nome de Usuário está instalado em um sistema operacional Linux ou UNIX?
    1. Não: Vá para a próxima pergunta.
    2. Início da mudançaSim: Assegure que o ID do usuário seja um membro do grupo mqbrkrs.

      Vá para Definindo a segurança nas filas do Servidor de Nome de Usuário

      Fim da mudança
  2. Deseja que seu Servidor de Nome de Usuário seja executado sob uma conta local do Windows?
    1. Não: Vá para a próxima pergunta.
    2. Início da mudançaSim: Assegure que seu ID do usuário tenha as seguintes características:
      • Ele está definido em seu domínio local
      • Ele é um membro do grupo mqbrkrs
      • Ele recebeu o privilégio Efetuar Logon como um Serviço na Política de Segurança Local no Windows, que você pode acessar selecionando Painel de Controle > Desempenho e Manutenção > Ferramentas Administrativas > Política de Segurança Local.

      Vá para Definindo a segurança nas filas do Servidor de Nome de Usuário

      Fim da mudança
  3. Deseja que seu Servidor de Nome de Usuário seja executado sobre uma conta de domínio do Windows?
    1. Sim: Suponha que seu computador chamado, por exemplo, WKSTN1, é um membro de um domínio chamado DOMAIN1. Ao executar um Servidor de Nome de Usuário utilizando, por exemplo, DOMAIN1\user1, assegure que:
      • Início da mudançaO ID do usuário (user1) recebeu o privilégio Efetua Logon como um Serviço na Política de Segurança Local no Windows, que você pode acessar selecionando Painel de Controle > Desempenho e Manutenção > Ferramentas Administrativas > Política de Segurança LocalFim da mudança
      • DOMAIN1\user1 seja membro de DOMAIN1\Domain mqbrkrs
      • DOMAIN1\Domain mqbrkrs é um membro de WKSTN1\mqbrkrs.

      Vá para Definindo a segurança nas filas do Servidor de Nome de Usuário.

Definindo a segurança nas filas do Servidor de Nome de Usuário

Quando você executa o comando mqsicreateusernameserver, o grupo mqbrkrs obtém autoridade de acesso às seguintes filas:
  • SYSTEM.BROKER.SECURITY.QUEUE
  • SYSTEM.BROKER.MODEL.QUEUE
Apenas o intermediário e o Configuration Manager requerem acesso às filas do Servidor de Nome de Usuário.

Executando o Servidor de Nome de Usuário em um ambiente de domínio

Quando os usuários que emitem comandos de publicação e de assinatura são usuários de domínio, defina a opção -d no comando mqsicreateusernameserver como o domínio do qual esses usuários vêm. Todos os usuários que emitem comandos de publicação e assinatura devem originar-se no mesmo domínio.

Avisos | Marcas Registradas | Downloads | Biblioteca | Suporte | Feedback

Copyright IBM Corporation 1999, 2009Copyright IBM Corporation 1999, 2009. Todos os Direitos Reservados.
Última atualização : 2009-02-13 15:33:44

ap03983_