Configure las listas de control de acceso (ACL) para controlar el acceso a los recursos de tiempo de ejecución.
Cuando haya creado los recursos de tiempo de ejecución (por ejemplo, los intermediarios y los grupos de ejecución) y haya protegido la conexión del transporte, necesitará configurar las listas de control de acceso (ACL) para controlar a qué objetos pueden acceder qué ID de usuarios. El acceso predeterminado, que tiene hasta que configura la ACL, es el acceso de control de acceso únicamente para el ID de servicio de gestor de configuración.
Para configurar las ACL:
El diagrama siguiente muestra una jerarquía de ejemplo de las entradas de la lista de control de acceso:
Los ejemplos siguientes muestran cómo funciona en la práctica esta jerarquía.
Ejemplo 1
El UsuarioA no tiene ninguna entrada de control de acceso. Por consiguiente, el UsuarioA no puede manipular ningún objeto de la jerarquía ni ver ninguno de los objetos definidos en ella.
Ejemplo 2
El UsuarioB tiene una entrada ACL que proporciona autorización de despliegue para el grupo de ejecución Eg1A. Esta entrada le proporciona la autorización de ver implícita para PubSubTopology e Intermediario1. El UsuarioB debe poder ver PubSubTopology e Intermediario1 (por ejemplo, en el Kit de herramientas de Message Brokers) para poder desplegar en Eg1A.
Dado que el UsuarioB no tiene ninguna entrada ACL para PubSubTopology o Intermediario1, el UsuarioB no hereda el acceso al otro intermediario o grupos de ejecución de la jerarquía. En la práctica, esto significa que el UsuarioB puede ver que hay otro grupo de ejecución definido en el Intermediario1 pero no puede ver los detalles (incluido el nombre del grupo de ejecución). De forma similar, el UsuarioB puede ver que existe otro intermediario en la topología, pero no puede ver ningún detalle. El UsuarioB no tiene acceso a RootTopic ni a Subscriptions (la tabla de suscripciones).
mmqsicreateaclentry testcm -u UsuarioB -a -x D -b Intermediario1 -e Eg1AEl mandato mqsilistaclentry muestra a continuación la información siguiente:
BIP1778I: userb -USER - D - Intermediario1/Eg1A - ExecutionGroup
Ejemplo 3
CMP Ver
RootTopic Ver
Subs Ver
Topology Ver
Intermediario1 Total
Eg1A Total
Eg1B Total
Intermediario2 Ver
Eg2A Ver
Eg2B Ver
mqsicreateaclentry testcm -u UsuarioC -a -x V -p mqsicreateaclentry testcm -u UsuarioC -a -x F -b Intermediario1El mandato mqsilistaclentry muestra a continuación la información siguiente:
BIP1778I: userc - USER - V - ConfigManagerProxy - ConfigManagerProxy BIP1778I: userc - USER - F - Intermediario1 - Broker
Ejemplo 4
CMP Total
RootTopic Total
Subs Total
Topology Total
Intermediario1 Ver
Eg1A Ver
Eg1B Ver
Intermediario2 Total
Eg2A Total
Eg2B Total
mqsicreateaclentry testcm -u UsuarioD -a -x F -p mqsicreateaclentry testcm -u UsuarioD -a -x V -b Intermediario1El mandato mqsilistaclentry muestra a continuación la información siguiente:
BIP1778I: usuarioD - USER - F - ConfigManagerProxy - ConfigManagerProxy BIP1778I: usuarioD - USER - V - Intermediario1 - BrokerEl mandato siguiente puede suprimir luego las entradas ACL para el UsuarioD:
mqsideleteaclentry testcm -u UsuarioD -a -b Intermediario1