Sicherheitsüberlegungen für die Workbench

Hier müssen Sie sich überlegen, welche Benutzer Aktionen in der Workbench ausführen können.

Hier gehören folgende Schritte dazu:

  1. Ist die Domänenfähigkeit während des Betriebs aktiviert?
  2. Ist die Domänenfähigkeit während des Betriebs inaktiviert?
  3. Sicherheit für den Kanal zwischen Workbench und Konfigurationsmanager einrichten

Stellen Sie sicher, dass die IDs der Benutzer, die die Workbench ausführen, höchstens acht Zeichen enthalten.

Ist die Domänenfähigkeit während des Betriebs aktiviert?

Die Domänenfähigkeit sollte aktiviert sein. Mit dieser Option werden die Domäneninformationen für einen Workbench-Benutzer zusammen mit dessen Benutzer-ID an den Konfigurationsmanager gesendet und damit für zusätzliche Sicherheit gesorgt. Angenommen, Sie führen den Konfigurationsmanager auf einem PC mit der Bezeichnung WKSTN1 aus, der zur Domäne DOMAIN1 gehört. Benutzer der Domäne DOMAIN2 möchten nun ebenfalls die Workbench verwenden. Führen Sie dazu folgende Schritte aus:

  1. Fügen Sie alle Benutzer oder Gruppen den lokalen Gruppennamen hinzu, die in den ACLs verwendet werden.

  2. Wenn Sie den Konfigurationsmanager erstellen, müssen Sie im Befehl mqsicreateaclentry die Option -m setzen, um sicherzustellen, dass bei der Überprüfung des Benutzers die Domäne berücksichtigt wird.

Wenn Sie die Workbench starten, werden die Domäneninformationen für Ihre Benutzer-ID automatisch an den Konfigurationsmanager gesendet. Aktivieren Sie im Konfigurationsmanager die Domänenfähigkeit, um Zugriff auf die Domäneninformationen zu erhalten.

Anmerkung: Wenn Sie einen Konfigurationsmanager und einen Broker auf verschiedenen PCs unter jeweils eigenen Benutzer-IDs ausführen, erhalten Sie beim Einsetzen von Nachrichtenflüssen und Nachrichtengruppen für den Broker unter Umständen eine Fehlernachricht. Dies können Sie wie folgt vermeiden:
  • Stellen Sie sicher, dass die Benutzer-ID des Brokers zu den Gruppen mqm und mqbrkrs gehört.
  • Definieren Sie die Benutzer-ID des Brokers auf dem PC, auf dem der Konfigurationsmanager aktiv ist.
  • Definieren Sie die Benutzer-ID des Konfigurationsmanagers auf dem PC, auf dem der Broker aktiv ist.
  • Stellen Sie sicher, dass alle Benutzer-IDs in Kleinschreibung sind, damit sie auf beiden Systemen kompatibel sind.

Ist die Domänenfähigkeit während des Betriebs inaktiviert?

Sie können die Domänenfähigkeit für den Betrieb inaktivieren; damit werden allerdings keine Domäneninformationen für den Workbench-Benutzer zusammen mit der Benutzer-ID übertragen, was eine verminderte Sicherheit bedeutet. Die Domänenfähigkeit sollte daher aktiviert sein.

Sie können im Befehl mqsicreateaclentry die Option -a angeben, um damit eine Benutzerüberprüfung ohne Berücksichtigung der Domäne zu ermöglichen.

Um die Domänenfähigkeit zu inaktivieren, sollten Sie Folgendes entscheiden:

  1. Stammen die Workbench-Benutzer aus einer lokalen Domäne?
    1. Nein: Weiter mit der nächsten Frage.
    2. Ja: Fügen Sie alle Benutzer den lokalen Gruppen hinzu, die in den ACLs verwendet werden.

      Weiter mit Abschnitt Sicherheit für den Kanal zwischen Workbench und Konfigurationsmanager einrichten.

  2. Stammen die Workbench-Benutzer aus einer anderen Domäne?
    1. Ja: Definieren Sie die andere Domäne als eine vertrauenswürdige Domäne des Konfigurationsmanager-PCs, und fügen Sie anschließend die Gruppen und Benutzer dieser vertrauenswürdigen Domäne den lokalen Gruppen des Konfigurationsmanagers hinzu.

Für zusätzliche Sicherheit wird gesorgt, wenn die Domänenfähigkeit und die Sicherheitsexits aktiviert sind. Weitere Informationen zu Sicherheitsexits finden Sie unter Sicherheitsexits.

Domänenfähigkeit des Toolkit inaktivieren

Das Toolkit sendet den Benutzer- und den Domänennamen an den Warteschlangenmanager des Konfigurationsmanagers; dabei spielt es keine Rolle, ob die Domänenfähigkeit des Konfigurationsmanagers aktiviert ist. Aufgrund der Sicherheitsmechanismen für die Herstellung von Verbindungen und für das Abrufen oder Einreihen von Nachrichten kann dies beim Herstellen einer Verbindung zum Warteschlangenmanager zu Problemen führen.

Um die Domänenfähigkeit für das Toolkit zu inaktivieren, müssen Sie das Toolkit wie folgt ausführen:
  1. Wechseln Sie in das Verzeichnis Installationsverzeichnis\eclipse.
  2. Führen Sie das Toolkit aus, indem Sie den Befehl mqsistudio -vmargs -DDomainAware=0 eingeben.
Ebenso können Sie auch den Direktaufruf ändern, mit dem das Toolkit aufgerufen werden kann, und die Parameter -vmargs -DDomainAware=0 hinzufügen.

Weiter mit Abschnitt Sicherheit für den Kanal zwischen Workbench und Konfigurationsmanager einrichten.

Sicherheit für den Kanal zwischen Workbench und Konfigurationsmanager einrichten

Erstellen und aktivieren Sie je einen Sicherheitsexit für die Workbench und den Konfigurationsmanager. Über diese Exits werden die Workbench-Benutzer über den Windows-Sicherheitsmanager auf dem PC des Konfigurationsmanagers überprüft.
Weitere Informationen zum Erstellen und Aktivieren von Sicherheitsexits finden Sie unter Sicherheitsexits.
Bemerkungen | Marken | Downloads | Bibliothek | Unterstützung | Rückmeldung
Copyright IBM Corporation 1999, 2006 Letzte Aktualisierung: 23. Aug. 2006
ap03985_