Inicio del cambio

Configuración de la seguridad para los componentes del dominio

Configure las listas de control de acceso (ACL) para controlar el acceso a los recursos de tiempo de ejecución.

Cuando haya creado los recursos de tiempo de ejecución (por ejemplo, los intermediarios y los grupos de ejecución) y haya protegido la conexión del transporte, necesitará configurar las listas de control de acceso (ACL) para controlar a qué objetos pueden acceder qué ID de usuarios. El acceso predeterminado, que tiene hasta que configura la ACL, es el acceso de control de acceso únicamente para el ID de servicio de gestor de configuración.

Para configurar las ACL:

  1. Decida qué objetos desea controlar, haciendo referencia a la jerarquía de las ACL que se puede definir.
  2. Utilice el mandato mqsicreateaclentry para definir permisos para cada objeto que requiere acceso que no sea predeterminado.
  3. Opcional: Si es un usuario de publicación/suscripción, puede definir otras ACL para el acceso de nivel de aplicación para la publicación y suscripción de temas especificados. Esto también se controla utilizando el mandato mqsicreateaclentry, pero no es necesario para la administración.
Cuando se han configurado las ACL, los usuarios del área de trabajo y los mandatos pueden trabajar con objetos del dominio. El control que los usuarios tiene sobre los objetos (Control total, Ver, Desplegar o Editar) depende del acceso que les ha concedido en las entradas de la lista de control de acceso.

El diagrama siguiente muestra una jerarquía de ejemplo de las entradas de la lista de control de acceso:

Este diagrama muestra una jerarquía de ejemplo. La raíz es CMP, que tiene tres hijos: RootTopic, Subscriptions y PubSubTopology. PubSubTopology tiene dos hijos: Intermediario1 e Intermediario2. Cada intermediario tiene dos hijos: Eg1A y Eg1B.

Los ejemplos siguientes muestran cómo funciona en la práctica esta jerarquía.

Ejemplo 1

El UsuarioA no tiene ninguna entrada de control de acceso. Por consiguiente, el UsuarioA no puede manipular ningún objeto de la jerarquía ni ver ninguno de los objetos definidos en ella.

Ejemplo 2

El UsuarioB tiene una entrada ACL que proporciona autorización de despliegue para el grupo de ejecución Eg1A. Esta entrada le proporciona la autorización de ver implícita para PubSubTopology e Intermediario1. El UsuarioB debe poder ver PubSubTopology e Intermediario1 (por ejemplo, en el Kit de herramientas de Message Brokers) para poder desplegar en Eg1A.

Dado que el UsuarioB no tiene ninguna entrada ACL para PubSubTopology o Intermediario1, el UsuarioB no hereda el acceso al otro intermediario o grupos de ejecución de la jerarquía. En la práctica, esto significa que el UsuarioB puede ver que hay otro grupo de ejecución definido en el Intermediario1 pero no puede ver los detalles (incluido el nombre del grupo de ejecución). De forma similar, el UsuarioB puede ver que existe otro intermediario en la topología, pero no puede ver ningún detalle. El UsuarioB no tiene acceso a RootTopic ni a Subscriptions (la tabla de suscripciones).

El mandato siguiente crea la entrada ACL para el UsuarioB:
mmqsicreateaclentry testcm -u UsuarioB -a -x D -b Intermediario1 -e Eg1A
El mandato mqsilistaclentry muestra a continuación la información siguiente:
BIP1778I: userb -USER  -  D  -  Intermediario1/Eg1A      -  ExecutionGroup

Ejemplo 3

El UsuarioC tiene una entrada ACL que proporciona autorización de ver para el Proxy del Gestor de configuración (CMP) y una entrada ACL que proporciona autorización total para el Intermediario1. Estas entradas conceden al UsuarioD las autorizaciones siguientes:

CMP Ver
RootTopic Ver
Subs Ver
Topology Ver
Intermediario1 Total
Eg1A Total
Eg1B Total
Intermediario2 Ver
Eg2A Ver
Eg2B Ver

Los mandatos siguientes crean las entradas ACL para el UsuarioC:
mqsicreateaclentry testcm -u UsuarioC -a -x V -p
mqsicreateaclentry testcm -u UsuarioC -a -x F -b Intermediario1
El mandato mqsilistaclentry muestra a continuación la información siguiente:
BIP1778I: userc                -  USER  - V  -  ConfigManagerProxy  -  ConfigManagerProxy
BIP1778I: userc                -  USER  -  F  -  Intermediario1              -  Broker

Ejemplo 4

El UsuarioD tiene una entrada ACL que proporciona autorización de control total para el CMP y una entrada ACL que proporciona autorización para ver al Intermediario1. La autorización de ver para acceder a Intermediario1 significa que el UsuarioD no hereda la autorización total para Intermediario1. Este uso de las entradas ACL de ver resulta útil porque permite a los usuarios que generalmente tienen control total sobre un objeto determinado disminuir temporalmente su acceso, para impedir una supresión o despliegue accidental. Si los usuarios necesitan el control total del objeto, al suprimir la entrada de ver se restaura la autorización total, de modo que pueden realizar las operaciones que necesitan y, a continuación, restaurar la entrada de ver. El UsuarioD tiene las autorizaciones siguientes:

CMP Total
RootTopic Total
Subs Total
Topology Total
Intermediario1 Ver
Eg1A Ver
Eg1B Ver
Intermediario2 Total
Eg2A Total
Eg2B Total

Los siguientes mandatos crean las entradas ACL para el UsuarioD:
mqsicreateaclentry testcm -u UsuarioD -a -x F -p
mqsicreateaclentry testcm -u UsuarioD -a -x V -b Intermediario1
El mandato mqsilistaclentry muestra a continuación la información siguiente:
BIP1778I: usuarioD             -  USER  - F  -  ConfigManagerProxy  -  ConfigManagerProxy
BIP1778I: usuarioD             -  USER  -  V  -  Intermediario1              -  Broker
El mandato siguiente puede suprimir luego las entradas ACL para el UsuarioD:
mqsideleteaclentry testcm -u UsuarioD -a -b Intermediario1
Conceptos relacionados
Visión general de seguridad
Seguridad de recursos de ejecución: listas de control de acceso
Tareas relacionadas
Configuración de la seguridad del dominio de intermediarios
Habilitación de la seguridad basada en temas
Referencia relacionada
Requisitos de seguridad para las tareas administrativas
Mandato mqsicreateaclentry
Mandato mqsideleteaclentry
Mandato mqsilistaclentry
Permisos de ACL
Avisos | Marcas registradas | Descargas | Biblioteca | Soporte | Su opinión

Copyright IBM Corporation 1999, 2009Copyright IBM Corporation 1999, 2009. Reservados todos los derechos.
Última actualización : 2009-02-16 14:31:19

ap03987_

Fin del cambio