Consideraciones sobre la seguridad para un intermediario

Hay que tener en cuenta varios factores a la hora de decidir qué usuarios pueden ejecutar mandatos del intermediario y qué usuarios pueden controlar la seguridad para los demás recursos del intermediario.

Cuando decide qué usuarios deben realizar las diferentes tareas, tenga en cuenta los pasos siguientes:

  1. Cómo decidir qué cuentas de usuarios pueden procesar mandatos de intermediario
  2. Cómo decidir qué cuenta de usuario utilizar para el ID de servicio de intermediario
  3. Configuración de la seguridad en las colas del intermediario
  4. Habilitación de la seguridad basada en temas en el intermediario

Cómo decidir qué cuentas de usuarios pueden procesar mandatos de intermediario

Decida qué permisos son necesarios para los ID de usuario que:
  • Crean, cambian, listan, suprimen, inician y detienen intermediarios
  • Muestran, recuperan y cambian información de rastreo

Responda a las siguientes preguntas:

  1. ¿Está instalado el intermediario en un sistema operativo Linux o UNIX?
    1. No: vaya a la siguiente pregunta.
    2. Inicio del cambioSí: Asegúrese de que el ID de usuario tenga las características siguientes:
      • Es miembro del grupo mqbrkrs.
      • Si se utilizará para crear o suprimir un intermediario, debe ser miembro del grupo mqm

      Vaya a Cómo decidir qué cuenta de usuario utilizar para el ID de servicio de intermediario.

      Fin del cambio
  2. Inicio del cambio¿Procesa los mandatos de intermediario bajo una cuenta local de Windows?
    1. No: vaya a la siguiente pregunta.
    2. Sí: Suponga que la cuenta local está en un sistema denominado, por ejemplo, WKSTN1.
      Asegúrese de que el ID de usuario tenga las características siguientes:
      • Es miembro del grupo mqbrkrs.
      • Si se utilizará para crear un intermediario, el ID de usuario debe definirse en el dominio local.
      • Si se utilizará para crear o iniciar un intermediario, el ID de usuario debe ser miembro del grupo Administradores (por ejemplo, WKSTN1\Administradores).
      • Si se utilizará para crear o suprimir un intermediario, el ID de usuario debe ser miembro del grupo mqm.

      Vaya a Cómo decidir qué cuenta de usuario utilizar para el ID de servicio de intermediario.

    Fin del cambio
  3. ¿Procesa los mandatos de intermediario bajo una cuenta de dominio de Windows?
    1. Inicio del cambioSí: Suponga que el sistema denominado WKSTN1, por ejemplo, es miembro de un dominio denominado DOMAIN1.
      Asegúrese de que el ID de usuario tenga las características siguientes:
      • Es miembro del grupo mqbrkrs.
      • Si se utilizará para crear un intermediario, el ID de usuario debe definirse en el dominio local.
      • Si se utilizará para crear o iniciar un intermediario, el ID de usuario debe ser miembro del grupo Administradores. Por ejemplo, si crea un intermediario que utiliza DOMAIN1\user1, asegúrese de que DOMAIN1\user1 sea miembro de WKSTN1\Administradores.
      • Si se utilizará para crear o suprimir un intermediario, el ID de usuario debe ser miembro del grupo mqm.

      Vaya a Cómo decidir qué cuenta de usuario utilizar para el ID de servicio de intermediario.

      Fin del cambio

Cómo decidir qué cuenta de usuario utilizar para el ID de servicio de intermediario

Inicio del cambioCuando ejecuta el mandato mqsistart con cualquier ID de usuario que es miembro de los grupos mqm y mqbrkrs, el ID de usuario en el que ejecuta el mandato mqsistart se convierte en el ID de usuario en el que se ejecutará el proceso del componente del intermediario.Fin del cambio

Responda a las siguientes preguntas:

  1. ¿Está instalado el intermediario en un sistema operativo Linux o UNIX?
    1. No: vaya a la siguiente pregunta.
    2. Inicio del cambioSí: Asegúrese de que el ID de usuario es miembro del grupo mqbrkrs.

      Vaya a Configuración de la seguridad en las colas del intermediario.

      Fin del cambio
  2. ¿Tiene intermediarios existentes que se ejecutan en este sistema Windows?
    1. No: Puede elegir un ID de servicio para el intermediario. Vaya a la siguiente pregunta.
    2. Si: En la plataforma Windows, todos los intermediarios deben ejecutarse con el mismo ID de servicio. Utilice el ID de servicio existente al crear un nuevo intermediario.
  3. ¿Desea que el intermediario se ejecute bajo una cuenta local de Windows?
    1. No: vaya a la siguiente pregunta.
    2. Inicio del cambioSí: Asegúrese de que el ID de usuario tenga las características siguientes:
      • Está definido en el dominio local.
      • Es miembro del grupo mqbrkrs.
      • Se le ha concedido el privilegio de Inicio de sesión como un servicio en la política de seguridad local en Windows, a la que puede acceder seleccionando Control Panel > Rendimiento y mantenimiento > Herramientas administrativas > Política de seguridad local.

      Vaya a Configuración de la seguridad en las colas del intermediario.

      Fin del cambio
  4. ¿Desea que el intermediario se ejecute bajo una cuenta de dominio de Windows?
    1. Sí: Suponga que el sistema denominado WKSTN1, por ejemplo, es miembro de un dominio denominado DOMAIN1. Cuando ejecutar un intermediario utilizando, por ejemplo, DOMAIN1\user1, asegúrese de que:
      • Inicio del cambioEl ID de usuario ha recibido el privilegio Iniciar sesión como un servicio (desde la Directiva de seguridad local).Fin del cambio
      • DOMAIN1\user1 es miembro de DOMAIN1\Dominio mqbrkrs.
      • DOMAIN1\Dominio mqbrkrs sea miembro de WKSTN1\mqbrkrs.
      • Al ID de usuario se le ha concedido el privilegio de Inicio de sesión como un servicio en la política de seguridad local en Windows, a la que puede acceder seleccionando Control Panel > Rendimiento y mantenimiento > Herramientas administrativas > Política de seguridad local.

      Vaya a Configuración de la seguridad en las colas del intermediario.

Inicio del cambio

Configuración de la seguridad en las colas del intermediario

Cuando se ejecuta el mandato mqsicreatebroker, el grupo mqbrkrs local recibe autorización para acceder a las colas internas cuyos nombres empiezan por los caracteres SYSTEM.BROKER. No cambie esta ACL porque es necesaria para que el intermediario funcione correctamente.

El Gestor de configuración que controla el intermediario coloca mensajes en SYSTEM.BROKER.ADMIN.QUEUE. Si el Gestor de configuración está en la misma máquina que el intermediario, su ID de servicio estará en el grupo mqbrkrs, por consiguiente, no es necesario realizar ninguna otra acción. Si el Gestor de configuración está en otra máquina, asegúrese de que su ID de servicio está definido para el sistema que ejecuta el intermediario y de que dispone de acceso WebSphere MQ para colocar mensajes en SYSTEM.BROKER.ADMIN.QUEUE.

Si utiliza colectivos para la publicación/suscripción, otros intermediarios del dominio deben colocar mensajes en SYSTEM.BROKER.INTERBROKER.QUEUE. Por consiguiente, los ID de servicio requieren autorización para colocar mensajes en dicha cola.

Fin del cambio

Habilitación de la seguridad basada en temas en el intermediario

Lleve a cabo esta tarea respondiendo a la siguiente pregunta:

¿Desea habilitar la seguridad basada en temas en el intermediario?
  1. Sí: vaya a Habilitación de la seguridad basada en temas.
  2. No: vaya a Consideraciones sobre la seguridad en un Gestor de configuración.
Avisos | Marcas registradas | Descargas | Biblioteca | Soporte | Su opinión

Copyright IBM Corporation 1999, 2009Copyright IBM Corporation 1999, 2009. Reservados todos los derechos.
Última actualización : 2009-02-16 14:31:18

ap03982_