Authentifizierung für Echtzeitverbindungen ausführen

Die WebSphere Message Broker-Authentifizierungsservices stellen eine optionale Funktion zur Verfügung, die zwischen JMS-Clients und Echtzeiteingabeknoten von WebSphere Message Broker unterstützt wird.

In einer Standardkonfiguration sind die Authentifizierungsservices inaktiviert.

So konfigurieren Sie das Produkt für die Verwendung der Authentifizierungsservices:

Benutzernamensserver konfigurieren

Der Benutzernamensserver verteilt an die Broker alle Informationen (insbesondere die Kennwörter), die zur Unterstützung dieser Authentifizierungsprotokolle erforderlich sind.

Um den Benutzernamensserver so zu konfigurieren, dass eine Authentifizierung unterstützt wird, stehen für die Befehle mqsicreateusernameserver und mqsichangeusernameserver zwei Parameter zur Verfügung.

Der erste Parameter (AuthProtocolDataSource) beschreibt das Verzeichnis der Betriebssystemdatei mit den Informationen, die für eine Unterstützung der Authentifizierungsprotokolle erforderlich sind.

Der zweite Parameter (die Option -j) gibt an, ob die Datei, auf die der Parameter AuthProtocolDataSource verweist, Angaben zu Gruppen und Gruppenzugehörigkeiten sowie Kennwortinformationen enthält.

Der Befehl mqsichangeusernameserver unterstützt auch das Attribut -d, mit der diese Option inaktiviert wird.

Broker konfigurieren

Konfigurieren Sie einen Broker, so dass er die Authentifizierungsservices von WebSphere Message Broker unterstützt. Sie müssen zwei Parameter für die Authentifizierung und die Zugriffssteuerung angeben und die Workbench verwenden, um die entsprechenden Echtzeiteingabeknoten und die Protokolle zu konfigurieren, die auf dem Broker unterstützt werden sollen.

Gehen Sie dazu wie folgt vor:

Beispielkennwortdateien

Zusammen mit WebSphere Message Broker werden die beiden Beispieldateien password.dat und pwgroup.dat geliefert.

Bei pwgroup.dat handelt es sich um die eine Beispieldatei, die Sie verwenden können, wenn das Attribut -j gesetzt wird.

Die Datei password.dat ist eine Beispieldatei, die verwendet wird, wenn die Standardeinstellungen übernommen werden.

Die Datei password.dat hat das folgende Format:
# Dies ist eine Kennwortdatei.

# Jede Zeile enthält zwei erforderliche Token, die durch Kommas
# getrennt sind. Das erste Token ist eine Benutzer-ID, das zweite
# das Kennwort dieses Benutzers.

#USERNAME PASSWORD
========================
subscriber,subpw
admin,adminpw
publisher,pubpw 
Der Inhalt dieser Datei ergänzt die Benutzer- und Gruppeninformationen, die vom Benutzernamensserver aus dem Betriebssystem abgerufen werden. Die Benutzernamen, die in der Datei, aber nicht im Betriebssystem definiert sind, werden von der Brokerdomäne als unbekannt eingestuft. Benutzernamen, die im Betriebssystem, nicht aber in der Kennwortdatei definiert sind, erhalten keinen Zugriff auf das System.

Die Datei 'pwgroup.dat' enthält Gruppeninformationen sowie Benutzer- und Kennwortinformationen. Zu jedem Benutzereintrag gehört eine Liste mit Gruppennamen, bei denen es sich um die Gruppen handelt, zu denen der Benutzer gehört.

Die Datei 'pwgroup.dat' hat das folgende Format:
# Dies ist eine Kennwortdatei. # Jede Zeile enthält mindestens zwei erforderliche Token, die durch
# Kommas getrennt sind. Das erste Token ist eine Benutzer-ID, das zweite
# ein Kennwort. Alle weiteren Token geben die Gruppen an, zu denen
# der Benutzer gehört.

#USERNAME PASSWORD  GROUPS 
subscriber,subpw,group1,group2,group3 
admin,adminpw,group2 
publisher,pubpw,group2,group4 
Wie oben schon erwähnt, kann diese Datei als einzige Quelle für die Benutzer-, Gruppen- und Kennwortinformationen für die Brokerdomäne verwendet werden.

Wenn die Benutzer- und Kennwortinformationen aus dem Betriebssystem abgerufen wurden und diese aktualisierten Informationen nun im Brokernetz eingesetzt werden sollen, müssen Sie den Benutzernamensserver und die Broker stoppen, die Datei aktualisieren und anschließend den Benutzernamensserver und die Broker erneut starten.

Wenn die Kennwörter aus dem Betriebssystem abgerufen wurden, werden Änderungen vom Broker automatisch verteilt. Benutzer oder Kennwörter werden mit den üblichen Managementtools des Betriebssystems geändert.

Authentifizierung im JMS-Client

Für Clientanwendungen, die WebSphere MQ-Klassen für Java Message Service Version 5.3 vor CSD4 verwenden, hat die Clientanwendung immer den Authentifizierungsprotokolltyp 'PM'. Die Clientanwendung und der Broker vereinbaren das Protokoll, das für eine Sitzung verwendet wird. Unterstützt der Broker beide Protolle (wurde in der Workbench-Definition eines Brokers also 'PM' oder 'MP' gesetzt), wird das Protokoll ausgewählt, das in der Workbench zuerst angegeben wurde.

Für Clientanwendungen, die WebSphere MQ-Klassen für Java Message Service Version 5.3 mit CSD 5 oder höher verwenden, unterstützt die Clientanwendung zwei Authentifizierungsstufen.

Es besteht die Möglichkeit, eine TopicConnectionFactory zur Unterstützung des Authentifizierungsmodus MQJMS_DIRECTAUTH_BASIC oder MQJMS_DIRECTAUTH_CERTIFICATE zu konfigurieren. MQJMS_DIRECTAUTH_BASIC entspricht der Authentifizierungsstufe 'PM', MQJMS_DIRECTAUTH_CERTIFICATE der Authentifizierungsstufe 'SR'.

Nach einer erfolgreichen Konfiguration der Authentifizierungsservices für einen Echtzeiteingabeknoten müssen JMS-Clientanwendungen beim Herstellen einer Verbindung ihre Berechtigungsnachweise angeben. Dazu übergibt die betreffende JMS-Clientanwendung ein Benutzer-ID/Kennwort-Paar an die Methode TopicConnectionFactory.createTopicConnection; Beispiel:
factory.createTopicConnection("user1", "user1pw");

Wurden keine oder ungültige Berechtigungsnachweise angegeben, empfängt die Anwendung eine eingebettete JMS-Ausnahme mit dem MQJMS-Fehlertext.

Zugehörige Konzepte
Authentifizierungsservices
Bemerkungen | Marken | Downloads | Bibliothek | Unterstützung | Rückmeldung
Copyright IBM Corporation 1999, 2006 Letzte Aktualisierung: 23. Aug. 2006
aq13230_