Themenspezifische Sicherheit aktivieren

Wenn Ihre Anwendungen die Publish/Subscribe-Services eines Brokers in Anspruch nehmen, können Sie einen weiteren Schutzmechanismus für die Themen einrichten, zu denen Nachrichten veröffentlicht und abonniert werden. Diese themenspezifische Sicherheit wird vom Benutzernamensserver verwaltet.

Führen Sie folgende Schritte aus:

  1. Vor der Erstellung eines Benutzernamensservers sollten Sie zunächst den Abschnitt Sicherheitsüberlegungen für einen Benutzernamensserver lesen.
  2. Erstellen Sie einen Benutzernamensserver. Informationen dazu finden Sie unter Benutzernamensserver erstellen.
  3. Geben Sie im Befehl mqsicreatebroker oder mqsichangebroker die Option -j an, und setzen Sie den Parameter -s auf den Namen des Warteschlangenmanagers für den Benutzernamensserver.
  4. Setzen Sie im Befehl mqsicreateconfigmgr oder mqsichangeconfigmgr den Parameter -s auf den Namen des Warteschlangenmanagers für den Benutzernamensserver.
  5. Erstellen Sie ACLs für die Themen, für die zusätzliche Sicherheitsmechanismen eingerichtet werden sollen. Der Abschnitt ACL-Einträge erstellen enthält weitere Informationen hierzu.
  6. Stellen Sie sicher, dass die Servicebenutzer-ID des Brokers berechtigt ist:
    1. Nachrichten aus allen Eingabewarteschlangen in einem Nachrichtenfluss abzurufen;
    2. Nachrichten in alle Ausgabe-, Antwort- und Fehlerwarteschlangen in einem Nachrichtenfluss zu stellen.
  7. Stellen Sie sicher, dass die Benutzer-IDs, unter denen Publish- und Subscribe-Anwendungen ausgeführt werden, über die Berechtigung verfügen, Nachrichten aus Warteschlangen in Nachrichtenflüssen abzurufen bzw. in Warteschlangen in Nachrichtenflüssen einzureihen.
    1. Erteilen Sie allen Publish-Anwendungen die Berechtigung, Nachrichten in die Eingabewarteschlangen des Nachrichtenflusses zu stellen.
    2. Berechtigen Sie Anwendungen, die Subskriptionen registrieren, Nachrichten in die Warteschlange SYSTEM.BROKER.CONTROL.QUEUE zu stellen.
    3. Berechtigen Sie Subscribe-Anwendungen, Nachrichten aus den Warteschlangen abzurufen, in denen Nachrichten veröffentlicht werden.
    4. Berechtigen Sie Publish- und Subscribe-Anwendungen, Nachrichten aus der Warteschlange für Antwortnachrichten abzurufen.

Wenn Sie Publish/Subscribe-Anforderungen von einem JMS-Client ausgeben, stehen zusätzliche Sicherheitsoptionen zur Verfügung. Weitere Informationen dazu finden Sie unter SSL-Authentifizierung, Datenschutzniveau und Authentifizierungsservices.

Weitere Informationen finden Sie unter Sicherheitsüberlegungen für einen Konfigurationsmanager.

Sicherheitsüberlegungen für einen Benutzernamensserver

Für diese Task müssen Sie Folgendes entscheiden:
Ist die themenspezifische Sicherheit im Broker aktiviert?
  1. Nein: Weiter mit Sicherheitsüberlegungen für einen Konfigurationsmanager.
  2. Ja: Sie benötigen einen Benutzernamensserver. Weiter mit Abschnitt Benutzerkonten festlegen, die Befehle des Benutzernamensservers ausführen können.

Benutzerkonten festlegen, die Befehle des Benutzernamensservers ausführen können

Sie müssen entscheiden, welche Berechtigungen Benutzer-IDs benötigen, die:
  • einen Benutzernamensserver erstellen, ändern, anzeigen, löschen, starten und stoppen
  • Traceinformationen anzeigen, abrufen und ändern

Beantworten Sie folgende Fragen:

  1. Ist der Benutzernamensserver auf einem Linux- oder UNIX-System installiert?
    1. Nein: Weiter mit der nächsten Frage.
    2. Ja: Die Informationen zur Ausführung von Benutzernamensserver-Befehlen unter Linux und UNIX sind noch nicht verfügbar.

      Weiter mit Abschnitt Benutzerkonto festlegen, das für die Service-ID des Benutzernamensservers verwendet wird.

  2. Führen Sie Benutzernamensserver-Befehle unter einem lokalen Windows-Konto aus?
    1. Nein: Weiter mit der nächsten Frage.
    2. Ja: Angenommen, Ihr lokales Konto befindet sich auf einem PC mit der Bezeichnung WKSTN1. Bei der Erstellung eines Benutzernamensservers müssen Sie sicherstellen, dass die Benutzer-ID in der lokalen Domäne definiert ist. Wenn Sie einen Benutzernamensserver erstellen oder starten, müssen Sie sicherstellen, dass Ihre Benutzer-ID zu WKSTN1\Administratoren gehört.

      Weiter mit Abschnitt Benutzerkonto festlegen, das für die Service-ID des Benutzernamensservers verwendet wird.

  3. Führen Sie Benutzernamensserver-Befehle unter einem Windows-Domänenkonto aus?
    1. Ja: Angenommen, Ihr PC mit dem Namen WKSTN1 gehört zur Domäne DOMAIN1. Beim Erstellen eines Benutzernamensservers beispielsweise unter Verwendung von DOMAIN1\user1 müssen Sie sicherstellen, dass DOMAIN1\user1 zu WKSTN1\Administrators gehört.

      Weiter mit Abschnitt Benutzerkonto festlegen, das für die Service-ID des Benutzernamensservers verwendet wird.

Benutzerkonto festlegen, das für die Service-ID des Benutzernamensservers verwendet wird

Wenn Sie im Befehl mqsicreateusernameserver oder mqsichangeusernameserver die Service-ID über die Option -i setzen, legen Sie damit die Benutzer-ID fest, unter der der Prozess der Benutzernamensserver-Komponente ausgeführt wird.

Beantworten Sie folgende Fragen:

  1. Ist der Benutzernamensserver auf einem Linux- oder UNIX-System installiert?
    1. Nein: Weiter mit der nächsten Frage.
    2. Ja: Die Informationen zur Ausführung des Benutzernamensservers unter Linux und UNIX sind noch nicht verfügbar.

      Weiter mit Abschnitt Sicherheit für die Warteschlangen des Benutzernamensservers einrichten.

  2. Soll der Benutzernamensserver unter einem lokalen Windows-Konto ausgeführt werden?
    1. Nein: Weiter mit der nächsten Frage.
    2. Ja: Stellen Sie sicher, dass die Benutzer-ID in der lokalen Domäne definiert ist und zur Gruppe mqbrkrs gehört.

      Weiter mit Abschnitt Sicherheit für die Warteschlangen des Benutzernamensservers einrichten.

  3. Soll der Benutzernamensserver unter einem Windows-Domänenkonto ausgeführt werden?
    1. Ja: Angenommen, Ihr PC mit dem Namen WKSTN1 gehört zur Domäne DOMAIN1. Wird ein Benutzernamensserver beispielsweise unter DOMAIN1\user1 ausgeführt, müssen Sie sicherstellen, dass DOMAIN1\user1 zur Gruppe DOMAIN1\Domain mqbrkrs und DOMAIN1\Domain mqbrkrs wiederum zur Gruppe WKSTN1\mqbrkrs gehört.

      Weiter mit Abschnitt Sicherheit für die Warteschlangen des Benutzernamensservers einrichten.

Sicherheit für die Warteschlangen des Benutzernamensservers einrichten

Durch die Ausführung des Befehls mqsicreateusernameserver erhält die Gruppe mqbrkrs Zugriff auf die folgenden Warteschlangen:
  • SYSTEM.BROKER.SECURITY.QUEUE
  • SYSTEM.BROKER.MODEL.QUEUE
Nur der Broker und der Konfigurationsmanager benötigen Zugriff auf die Warteschlangen des Benutzernamensservers.

Benutzernamensserver in einer Domänenumgebung ausführen

Wenn es sich bei den Benutzern, die Publish- und Subsribe-Befehle absetzen, um Domänenbenutzer handelt, müssen Sie die Option -d im Befehl mqsicreateusernameserver auf die Domäne dieser Benutzer setzen. Alle Benutzer, die Publish- und Subscribe-Befehle absetzen, müssen zu derselben Domäne gehören.

Bemerkungen | Marken | Downloads | Bibliothek | Unterstützung | Rückmeldung
Copyright IBM Corporation 1999, 2006 Letzte Aktualisierung: 23. Aug. 2006
ap03983_