Habilitación de SSL para el nodo Real Time

Los servicios de autenticación de WebSphere Message Broker proporcionan un recurso opcional que está soportado entre clientes JMS y nodos Real-timeInput de WebSphere Message Broker.

En una configuración por omisión, los servicios de autenticación están inhabilitados.

Para configurar el producto de forma que utilice los servicios de autenticación, lleve a cabo estos pasos.

Configuración del servidor de nombres de usuario

El Servidor de nombres de usuario distribuye a los intermediarios la información (específicamente, contraseñas) que se necesita para soportar estos protocolos de autenticación.

Para configurar el Servidor de nombres de usuario de forma que soporte la autenticación, se facilitan dos parámetros para los mandatos mqsicreateusernameserver y mqsichangeusernameserver.

El primer parámetro, AuthProtocolDataSource, describe la ubicación de un sistema operativo que contiene la información necesaria para soportar los protocolos de autenticación.

El segundo parámetro, el indicador -j, indica si el archivo al que señala el parámetro AuthProtocolDataSource contiene información de grupo y miembros del grupo, así como información de contraseñas.

El mandato mqsichangeusernameserver también tiene soporte para un indicador -d que inhabilita la opción.

Configuración de un intermediario

Configure un intermediario para que soporte los servicios de autenticación de WebSphere Message Broker. Es necesario que especifique dos parámetros de autenticación y control de acceso y que utilice el entorno de trabajo para configurar los nodos Real-timeInput adecuados y los conjuntos de protocolo que hayan de estar soportados en el intermediario.

Los siguientes pasos indican cómo llevar esto a cabo.

Archivos de contraseñas de ejemplo

Se facilitan dos archivos de ejemplo, llamados password.dat y pwgroup.dat, con WebSphere Message Broker.

pwgroup.dat es un archivo de ejemplo que puede utilizarse cuando se establece el indicador -j.

password.dat es un archivo de ejemplo que puede utilizarse como valor por omisión.

password.dat tiene el siguiente diseño:
# Este es un archivo de contraseñas.

# Cada línea contiene dos señales necesarias delimitadas por
# comas. La primera es un ID de usuario y la segunda es la
# contraseña de dicho usuario.

#NOMBREUSUARIO CONTRASEÑA
========================
subscriber,subpw
admin,adminpw
publisher,pubpw 
Este archivo complementa la información de usuario y grupo que extrae el servidor de nombres de usuario del sistema operativo. Los nombres de usuarios que están definidos en el archivo, pero no en el sistema operativo, se tratan como desconocidos en el dominio de intermediarios. A los nombres de usuarios que están definidos en el sistema operativo, pero no en el archivo de contraseñas, se les deniega el acceso al sistema.

pwgroup.dat contiene información de grupos así como información de usuarios y contraseñas. Cada entrada de usuario incluye una lista de nombres de grupos que especifican los grupos que contienen al usuario.

pwgroup.dat tiene el siguiente diseño:
#Este es un archivo de contraseñas.
# Cada línea contiene dos o más señales necesarias delimitadas por
La primera es un ID de usuario y la segunda es la
#contraseña de dicho usuario. Todas las señales siguientes 
#especifican el conjunto de grupos a los que pertenece el usuario.  

#NOMBREUSUARIO CONTRASEÑA GRUPOS 
subscriber,subpw,group1,group2,group3 
admin,adminpw,group2 
publisher,pubpw,group2,group4 
Como se indica arriba, este archivo puede usarse para proporcionar el único origen de la información de usuario, grupo y contraseña para el dominio de intermediarios.

Para desplegar información actualizada de usuarios y contraseñas para la red de intermediarios si dicha información se extrae de un archivo del sistema operativo, detenga el servidor de nombres de usuario y los intermediarios, actualice el archivo y, a continuación, reinicie el servidor de nombres de usuario y los intermediarios.

Si las contraseñas se extraen del sistema operativo, las actualizaciones se distribuyen automáticamente a los intermediarios. Utilice las herramientas normales de gestión del sistema operativo para cambiar usuarios o contraseñas.

Autenticación en el cliente JMS

Para aplicaciones cliente que utilicen clase WebSphere MQ para Java Message Service Versión 5.3 antes de CSD4, la aplicación cliente tiene siempre un nivel de protocolo de autenticación PM. La aplicación cliente y el intermediario negocian la elección del protocolo para una sesión. Cuando el intermediario tiene soporte para ambos protocolos (es decir, cuando se ha establecido PM o MP en la definición de un intermediario del entorno de trabajo, se elige el primer protocolo especificado en el entorno de trabajo.

Para aplicaciones cliente que utilicen las clases WebSphere MQ para Java Message Service Versión 5.3, CSD10 (más APAR IC47044) o CSD11 o posterior, la aplicación cliente soporta los dos niveles de autenticación.

Se puede configurar TopicConnectionFactory para que soporte la modalidad de autenticación MQJMS_DIRECTAUTH_BASIC l la modalidad de autenticación MQJMS_DIRECTAUTH_CERTIFICATE. La modalidad de autenticación MQJMS_DIRECTAUTH_BASIC es equivalente a un nivel PM y la modalidad de autenticación MQJMS_DIRECTAUTH_CERTIFICATE es equivalente a un nivel SR.

Si los servicios de autenticación se han configurado correctamente para un nodo Real-timeInput, una aplicación cliente de JMS necesita especificar sus credenciales al crear una conexión. Para ello, la aplicación cliente JMS facilita una combinación de cliente/contraseña al método TopicConnectionFactory.createTopicConnection; por ejemplo,:
factory.createTopicConnection("user1", "user1pw");

Si no se especifican credenciales, o se especifican incorrectamente, la aplicación recibe una excepción derivada de JMS que contiene el texto del error MQJMS.

Avisos | Marcas registradas | Descargas | Biblioteca | Soporte | Su opinión
Copyright IBM Corporation 1999, 2006 Última actualización: 22/08/2006
ap12233_