Ativando a Segurança Baseada em Tópicos

Se seus aplicativos utilizarem os serviçosPublicação/Assinatura de um intermediário, você pode aplicar um nível adicional de segurança aos tópicos nos quais mensagens são publicadas e assinadas. Esta segurança baseada em tópicos é gerenciada peloServidor de Nome de Usuário.

Execute as seguintes etapas:

  1. Antes de criar um Servidor de Nome de Usuário, consulte Considerando a segurança para um Servidor de Nome de Usuário.
  2. Crie um Servidor de Nome de Usuário. Consulte Criando um Servidor de Nome de Usuário.
  3. Selecione o sinalizador -j e defina o parâmetro -s para o nome do gerenciador de filas para o Servidor de Nome de Usuário no comando mqsicreatebroker ou mqsichangebroker.
  4. Defina o parâmetro -s no comando mqsicreateconfigmgr ou mqsichangeconfigmgr para o nome do gerenciador de filas para o Servidor de Nome de Usuário.
  5. Crie ACLs para os tópicos que exijam segurança adicional. Para obter informações adicionais, consulte Criando Entradas de ACL.
  6. Certifique-se de que o ID do usuário de serviço do intermediário tenha autoridade para:
    1. Obter mensagens de cada fila de entrada incluída em um fluxo de mensagens
    2. Colocar mensagens em qualquer fila de saída, resposta e falha incluída em um fluxo de mensagens.
  7. Certifique-se de que os IDs dos usuários sob os quais os aplicativos de publicação e assinatura são executados tenham autoridade suficiente para colocar em, e obter de, filas de fluxo de mensagens:
    1. Autorize os aplicativos de publicação a colocarem mensagens na fila de entrada do fluxo de mensagens.
    2. Autorize os aplicativos que registram assinaturas a colocar na fila SYSTEM.BROKER.CONTROL.QUEUE.
    3. Autorize os aplicativos de assinatura a obter a partir da fila na qual as mensagens são publicadas.
    4. Autorize aplicativos de publicação e assinatura a obter a partir da fila de resposta.

Se estiver emitindo pedidos do Publicação/Assinatura a partir de um cliente JMS, opções de segurança adicionais estarão disponíveis. Consulte Autenticação SSL, Qualidade de Proteção e Serviços de Autenticação.

Vá para Considerando a segurança para um Configuration Manager.

Considerando a segurança para um Servidor de Nome de Usuário

Execute esta tarefa respondendo às seguinte questão:
Você ativou a segurança baseada em tópico em seu intermediário?
  1. Não: Vá para Considerando a segurança para um Configuration Manager.
  2. Sim: Você irá precisar de Servidor de Nome de Usuário. Vá para Decidindo quais contas de usuário podem executar comandos do Servidor de Nome de Usuário.

Decidindo quais contas de usuário podem executar comandos do Servidor de Nome de Usuário

Durante esta tarefa você decide quais permissões são requeridas para que os IDs dos usuários:
  • Criar, alterar, listar, excluir, iniciar e interromper um Servidor de Nome de Usuário
  • Exibir, recuperar e alterar informações de rastreio.

Responda as seguintes perguntas:

  1. O seu Servidor de Nome de Usuário está instalado em um sistema operacional Linux ou UNIX?
    1. Não: Vá para a próxima pergunta.
    2. Sim: As informações sobre a execução de comandos do Servidor de Nome de Usuário no Linux e UNIX ainda não estão disponíveis.

      Vá para Decidindo qual conta de usuário utilizar para o ID de serviço do Servidor de Nome de Usuário.

  2. Você está executando comandos doServidor de Nome de Usuário sob uma conta local do Windows?
    1. Não: Vá para a próxima pergunta.
    2. Sim: Suponha que sua conta local esteja em um computador chamado, por exemplo, WKSTN1. Quando criar umServidor de Nome de Usuário, assegure-se de que seu ID de usuário está definido em seu domínio local.Quando criar ou iniciar um Servidor de Nome de Usuário, assegure-se de que seu ID de usuário seja um membro de WKSTN1\Administrators.

      Vá para Decidindo qual conta de usuário utilizar para o ID de serviço do Servidor de Nome de Usuário.

  3. Você está executando comandos doServidor de Nome de Usuário sob uma conta de domínio doWindows?
    1. Sim: Suponha que seu computador chamado, por exemplo, WKSTN1, é um membro de um domínio chamado DOMAIN1. Quando criar um Servidor de Nome de Usuário utilizando, por exemplo, DOMAIN1\user1, assegure-se de que DOMAIN1\user1 seja um membro de WKSTN1\Administrators.

      Vá para Decidindo qual conta de usuário utilizar para o ID de serviço do Servidor de Nome de Usuário.

Decidindo qual conta de usuário utilizar para o ID de serviço do Servidor de Nome de Usuário

Quando você define o ID de serviço com a opção -i no comando mqsicreateusernameserver ou mqsichangeusernameserver, você determina o ID do usuário sob o qual o processo do componente Servidor de Nome de Usuário é executado.

Responda as seguintes perguntas:

  1. O seu Servidor de Nome de Usuário está instalado em um sistema operacional Linux ou UNIX?
    1. Não: Vá para a próxima pergunta.
    2. Sim: As informações sobre a execução de seu Servidor de Nome de Usuário no Linux e UNIX ainda não estão disponíveis.

      Vá para Definindo a segurança nas filas do Servidor de Nome de Usuário

  2. Deseja que seu Servidor de Nome de Usuário seja executado sob uma conta local do Windows?
    1. Não: Vá para a próxima pergunta.
    2. Sim: Assegure-se de que seu ID de usuário seja definido em seu domínio local e que seja um membro de mqbrkrs.

      Vá para Definindo a segurança nas filas do Servidor de Nome de Usuário

  3. Deseja que seu Servidor de Nome de Usuário seja executado sobre uma conta de domínio do Windows?
    1. Sim: Suponha que seu computador chamado, por exemplo, WKSTN1, é um membro de um domínio chamado DOMAIN1. Quando você executa um Servidor de Nome de Usuário utilizando, por exemplo, DOMAIN1\user1, assegure-se de que: DOMAIN1\user1 é um membro de DOMAIN1\Domain mqbrkrs e se DOMAIN1\Domain mqbrkrs é um membro de WKSTN1\mqbrkrs.

      Vá para Definindo a segurança nas filas do Servidor de Nome de Usuário.

Definindo a segurança nas filas do Servidor de Nome de Usuário

Quando você executa o comando mqsicreateusernameserver, o grupo mqbrkrs obtém autoridade de acesso às seguintes filas:
  • SYSTEM.BROKER.SECURITY.QUEUE
  • SYSTEM.BROKER.MODEL.QUEUE
Apenas o intermediário e o Configuration Manager requerem acesso às filas do Servidor de Nome de Usuário.

Executando o Servidor de Nome de Usuário em um ambiente de domínio

Quando os usuários que emitem comandos de publicação e de assinatura são usuários de domínio, defina a opção -d no comando mqsicreateusernameserver como o domínio do qual esses usuários vêm. Todos os usuários que emitem comandos de publicação e assinatura devem originar-se no mesmo domínio.

Avisos | Marcas Registradas | Downloads | Biblioteca | Suporte | Feedback
Direitos Autorais IBM Corporation 1999, 2006 Última Atualização: 1 Sep 2006
ap03983_