Abilitazione di SSL per il nodo Real-Time

I servizi di autenticazione WebSphere Message Broker forniscono una funzione facoltativa che è supportata tra i client JMS e i nodi Real-timeInput di WebSphere Message Broker.

In una configurazione predefinita, i servizi di autenticazione sono disabilitati.

Per configurare il prodotto in modo da utilizzare i servizi di autenticazione, completare i seguenti passi.

Configurazione del server nomi utente

Il Server nomi utente distribuisce ai broker le informazioni (in particolare le password) richieste per supportare questi protocolli di autenticazione.

Per configurare il Server nomi utente in modo da supportare l'autenticazione, vengono forniti due parametri per i comandimqsicreateusernameserver e mqsichangeusernameserver.

Il primo parametro, AuthProtocolDataSource, descrive l'ubicazione del file del sistema operativo che contiene le informazioni richieste per supportare i protocolli di autenticazione.

Il secondo parametro, l'indicatore -j, specifica se il file a cui punta il parametro AuthProtocolDataSource contiene informazioni relative al gruppo e all'appartenenza al gruppo, così come informazioni relative alla password.

Il comando mqsichangeusernameserver supporta inoltre un indicatore -d per disabilitare l'opzione.

Configurazione di un broker

Configurare un broker per supportare i servizi di autenticazione WebSphere Message Broker. E' necessario specificare due parametri di controllo accesso e autenticazione ed utilizzare workbench per configurare i nodi Real-timeInput appropriati e le serie di protocolli che devono essere supportati sul broker.

I passi riportati di seguito mostrano come procedere a tale fine.

File di password di esempio

Vengono forniti con WebSphere Message Broker due file di esempio denominati password.dat e pwgroup.dat.

pwgroup.dat è un file di esempio che può essere utilizzato quando si imposta l'indicatore -j.

password.dat è un file di esempio che può essere utilizzato nel caso predefinito.

password.dat ha il seguente layout:
# Questo è un file di password.

# Ciascuna riga contiene due token richiesti delimitati da
# virgole. Il primo è un ID utente, il secondo è la password
# di tale utente.

#NOME UTENTE PASSWORD
========================
subscriber,subpw
admin,adminpw
publisher,pubpw 
Questo file completa le informazioni sull'utente e il gruppo estratte dal server nomi utente dal sistema operativo. I nomi utente definiti in questo file, ma non il sistema operativo, sono gestiti come sconosciuti dal dominio broker. Ai nomi utente definiti nel sistema operativo, ma non definiti nel file di password, è negato l'accesso al sistema.

pwgroup.dat contiene informazioni sul gruppo così come informazioni sulla password e l'utente. Ciascuna voce utente include un elenco di nomi di gruppo che specificano i gruppi che contengono l'utente.

pwgroup.dat ha il seguente layout:
# Questo è un file di password.
#Ciascuna riga contiene due o più token richiesti delimitati da
#virgole. Il primo è un ID utente, il secondo è la password
#di tale utente. Tutti i token successivi 
#specificano la serie di gruppi di appartenenza dell'utente.  

#NOME UTENTE PASSWORD  GRUPPI 
subscriber,subpw,group1,group2,group3 
admin,adminpw,group2 
publisher,pubpw,group2,group4 
Come menzionato in precedenza, questo file può essere utilizzato per fornire l'unica origine delle informazioni relative a utente, gruppo e password per il dominio broker.

Per distribuire informazioni aggiornate sull'utente e la password alla rete di broker se queste informazioni vengono ricavate da un file del sistema operativo, arrestare il server nomi utente ed i broker, aggiornare il file quindi riavviare tale server ed i broker.

Se le password vengono estratte dal sistema operativo, gli aggiornamenti vengono distribuiti automaticamente ai broker. Utilizzare i normali strumenti di gestione del sistema operativo per cambiare utenti e password.

Autenticazione nel client JMS

Per applicazioni client che utilizzano le classi WebSphere MQ per Java Message Service Versione 5.3 prima di CSD4, l'applicazione client ha sempre PM come livello del protocollo di autenticazione. L'applicazione client e il broker negoziano la scelta del protocollo per una sessione. Quando il broker supporta entrambi i protocolli (ovvero, è stato impostato PM o MP nella definizione del workbench di un broker), viene scelto il primo protocollo specificato nel workbench.

Per applicazioni client che utilizzano le classi WebSphere MQ per Java Message Service Versione 5.3, CSD10 (più APAR IC47044), CSD11 o successiva, l'applicazione client supporta due livelli di autenticazione.

TopicConnectionFactory può essere configurato per supportare una modalità di autenticazione MQJMS_DIRECTAUTH_BASIC o MQJMS_DIRECTAUTH_CERTIFICATE. La modalità di autenticazione MQJMS_DIRECTAUTH_BASIC è equivalente ad un livello PM mentre MQJMS_DIRECTAUTH_CERTIFICATE è equivalente ad un livello SR.

Se i servizi di autenticazione sono stati configurati con esito positivo per un nodo Real-timeInput, quando si crea un collegamento, un'applicazione client JMS deve specificare le relative credenziali. A tal fine, l'applicazione client JMS fornisce una combinazione utente/password al metodo TopicConnectionFactory.createTopicConnection; ad esempio:
factory.createTopicConnection("user1", "user1pw");

Se non vengono specificate le credenziali, o vengono specificate in modo non corretto, l'applicazione riceve un'eccezione di wrap JMS contenente il testo di errore MQJMS.

Informazioni particolari | Marchi | Download | Libreria | Supporto | Commenti
Copyright IBM Corporation 1999, 2006 Ultimo aggiornamento: ago 17, 2006
ap12233_