Utilizando Autenticação para Conexões em Tempo Real

Os serviços de autenticação do WebSphere Message Broker fornecem um recurso opcional que é suportado entre clientes JMS e nós Real-timeInput do WebSphere Message Broker.

Em uma configuração padrão, os serviços de autenticação estão desativados.

Para configurar o produto para utilizar os serviços de autenticação, execute as seguintes etapas.

Configurando o Servidor de Nomes do Usuário

O Servidor de Nome de Usuário distribui para os intermediários as informações (especialmente, senhas) que são necessárias para suportar esses protocolos de autenticação.

Para configurar o Servidor de Nome de Usuário para suportar a autenticação, são fornecidos dois parâmetros para os comandos mqsicreateusernameserver e mqsichangeusernameserver.

O primeiro parâmetro, AuthProtocolDataSource, descreve a localização de um arquivo do sistema operacional que contém as informações necessárias para suportar os protocolos de autenticação.

O segundo parâmetro, o sinalizador -j, indica se o arquivo para o qual o aponta o parâmetro AuthProtocolDataSource contém informações sobre grupos e associação de grupos bem como informações sobre senha.

O comando mqsichangeusernameserver também suporta um sinalizador -d para desativar a opção.

Configurando um Intermediário

Configure um intermediário para suportar serviços de autenticação do WebSphere Message Broker. É preciso especificar dois parâmetros de autenticação e controle de acesso e utilizar o workbench para configurar os nós Real-timeInput apropriados e os conjuntos de protocolos que devem ser suportados no intermediário.

As etapas a seguir mostram como fazer isto.

Arquivos de Senhas de Amostra

Dois arquivos de amostra, denominados password.dat e pwgroup.dat, são fornecidos com o WebSphere Message Broker.

pwgroup.dat é um arquivo de amostra que pode sr utilizado quando se define o sinalizador -j.

password.dat é um arquivo de amostra que pode ser utilizado no caso padrão.

password.dat tem o seguinte layout:
# Este é um arquivo de senhas

# Cada linha contém dois tokens requeridos delimitados por
# vírgulas. O primeiro é um ID do usuário, o segundo é a senha desse
# usuário.

#USERNAME PASSWORD
========================
subscriber,subpw
admin,adminpw
publisher,pubpw 
Esse arquivo complementa as informações sobre o usuário e sobre o grupo extraídas pelo Servidor de Nomes de Usuário do sistema operacional. Os nomes dos usuários que são definidos no arquivo mas não no sistema operacional são tratados como desconhecidos pelo domínio do intermediário. Os nomes dos usuários que são definidos no sistema operacional mas não no arquivo de senhas têm o acesso ao sistema negado.

pwgroup.dat contém informações de grupo bem como informações de usuário e senha. Cada entrada de usuário inclui uma lista de nomes de grupos que especificam os grupos que contêm o usuário.

pwgroup.dat tem o seguinte layout:
# Este é um arquivo de senhas
# Cada linha contém dois ou mais tokens requeridos delimitados por
# vírgulas. O primeiro é um ID do usuário e o segundo é a senha desse
# usuário. Todos os tokens seguintes
# especificam o conjunto de grupos aos quais o usuário pertence.

#USERNAME PASSWORD  GROUPS
subscriber,subpw,group1,group2,group3
admin,adminpw,group2
publisher,pubpw,group2,group4 
Conforme mencionado acima, esse arquivo pode ser utilizado para fornecer a única origem de informações sobre usuário, grupo e senha para o domínio do intermediário.

Para implementar informações atualizadas sobre usuários e senhas para a rede do intermediário, se essas informações forem extraídas de um arquivo do sistema operacional, pare o Servidor de Nomes de Usuário e os intermediários, atualize o arquivo e, em seguida, reinicie ambos.

Se as senhas forem extraídas do sistema operacional, as atualizações serão distribuídas automaticamente aos intermediários. Utilize ferramentas normais de gerenciamento do sistema operacional para alterar usuários ou senhas.

Autenticação no Cliente JMS

Para aplicativos clientes que utilizam classe do WebSphere MQ para o Java Message Service Versão 5.3 anterior ao CSD4, o aplicativo cliente sempre tem um nível de protocolo de autenticação de PM. O aplicativo cliente e o intermediário negociam a escolha de protocolo para uma sessão. Onde o intermediário suportar ambos os protocolos (ou seja, você definiu PM ou MP na definição de um intermediário no workbench), o primeiro protocolo especificado no workbench será escolhido.

Para aplicativos clientes que utilizam classe do WebSphere MQ para o Java Message Service Versão 5.3, CSD 5 ou posterior, o aplicativo cliente suporta dois níveis de autenticação.

Uma TopicConnectionFactory pode ser configurada para suportar um modo de autenticação de MQJMS_DIRECTAUTH_BASIC ou de MQJMS_DIRECTAUTH_CERTIFICATE.O modo de autenticação MQJMS_DIRECTAUTH_BASIC é equivalente a um nível de PM e o modo de autenticação MQJMS_DIRECTAUTH_CERTIFICATE é equivalente a um nível de SR.

Se os serviços de autenticação tiverem sido configurados com êxito para um nó Real-timeInput, um aplicativo cliente JMS precisará especificar suas credenciais ao criar uma conexão. Para isso, o aplicativo cliente JMS fornece uma combinação de ID de usuário/senha ao método TopicConnectionFactory.createTopicConnection; por exemplo:
factory.createTopicConnection("user1", "user1pw");

Se as credenciais não forem especificadas ou forem especificadas incorretamente, o aplicativo receberá uma exceção agrupada do JMS contendo o texto do erro de MQJMS.

Conceitos relacionados
Serviços de Autenticação
Avisos | Marcas Registradas | Downloads | Biblioteca | Suporte | Feedback
Direitos Autorais IBM Corporation 1999, 2006 Última Atualização: 1 Sep 2006
aq13230_