E' opportuno proteggere le risorse WebSphere MQ richieste dalla
propria configurazione.
Questa sezione non si applica a z/OS.
WebSphere Message Broker dipende da svariate risorse WebSphere MQ per funzionare
correttamente. E' necessario controllare l'accesso a queste risorse per garantire che i
componenti del prodotto possano accedere alle risorse da cui dipendono e che queste stesse
risorse siano protette rispetto ad altri utenti.
Alcune autorizzazioni sono concesse
per conto dell'utente quando vengono inoltrati i comandi. Altre dipendono dalla configurazione del dominio
broker.
- Quando si inoltra il comando mqsicreatebroker,
esso concede l'autorizzazione all'inserimento (put) e al richiamo (get) per conto dell'utente, al gruppo
mqbrkrs per le seguenti code:
- SYSTEM.BROKER.ADMIN.QUEUE
- SYSTEM.BROKER.CONTROL.QUEUE
- SYSTEM.BROKER.EXECUTIONGROUP.QUEUE
- SYSTEM.BROKER.EXECUTIONGROUP.REPLY
- SYSTEM.BROKER.INTERBROKER.QUEUE
- SYSTEM.BROKER.MODEL.QUEUE
- Quando si inoltra il comando mqsicreateconfigmgr esso
concede l'autorizzazione all'inserimento (put) e al richiamo (get) per conto dell'utente al gruppo mqbrkrs
per le seguenti code:
- SYSTEM.BROKER.CONFIG.QUEUE
- SYSTEM.BROKER.CONFIG.REPLY
- SYSTEM.BROKER.ADMIN.REPLY
- SYSTEM.BROKER.SECURITY.REPLY
- SYSTEM.BROKER.MODEL.QUEUE
- Quando si inoltra il comando mqsicreateusernameserver,
esso concede l'autorizzazione all'inserimento (put) e al richiamo (get) per conto dell'utente, al gruppo
mqbrkrs per le seguenti code:
- SYSTEM.BROKER.SECURITY.QUEUE
- SYSTEM.BROKER.MODEL.QUEUE
- Quando si inoltra il comando mqsicreateaclentry,
esso concede l'autorizzazione all'inserimento (put) e al richiamo (get) per conto dell'utente alla risorsa o all'utente specificati
per i parametri del comando -p o -u per le seguenti code:
- SYSTEM.BROKER.CONFIG.QUEUE
- SYSTEM.BROKER.CONFIG.REPLY
- Se sono stati creati dei componenti WebSphere Message Broker
da eseguire su gestori code differenti, nelle code di trasmissione definite per gestire il
traffico di messaggi tra i gestori code devono essere concesse le autorizzazioni put e
setall al gruppo mqbrkrs locale o all'ID utente
del servizio del componente supportato dal gestore code
su cui è definita la coda di trasmissione.
- Quando si avvia il workbench, esso si connette alla
Gestione configurazione utilizzando una connessione client/server WebSphere MQ. Per i dettagli sulla sicurezza del canale WebSphere MQ
fare riferimento a "Setting up WebSphere MQ client
security" nel manuale WebSphere MQ Clients.
- Quando si crea e si distribuisce un flusso di messaggi, concedere:
- l'autorizzazione get e inq a ogni coda di input identificata in un nodo MQInput,
per il ServiceUserID del broker.
- l'autorizzazione put e inq a ogni coda di output identificata in un nodo MQOutput o da un nodo
MQReply, per il ServiceUserID del broker.
- l'autorizzazione get a ogni coda di output identificata in un nodo MQOutput o in un nodo
MQReply per l'ID utente con cui è in esecuzione un'applicazione client
di ricezione o sottoscrizione.
- l'autorizzazione put a ogni coda di input identificata in un nodo MQInput per l'ID utente
con cui è in esecuzione un'applicazione client di invio e pubblicazione.