Consideraciones sobre la seguridad para el entorno de trabajo

Durante esta tarea deberá tener en cuenta los factores para decidir qué usuarios pueden efectuar acciones dentro del entorno de trabajo.

Considere lo siguiente:

  1. ¿Está ejecutando con la detección de dominio habilitada?
  2. ¿Está ejecutando con la detección de dominio inhabilitada?
  3. Protección del canal entre el entorno de trabajo y el Gestor de configuración

Asegúrese de que los ID de los usuarios que ejecutarán el entorno de trabajo no tienen más de ocho caracteres.

¿Está ejecutando con la detección de dominio habilitada?

Se recomienda ejecutar con la detección de dominio habilitada. Con esta opción, la información de dominio para un usuario del entorno de trabajo se transfiere con el ID de usuario hasta el Gestor de configuración para una mayor seguridad. Suponga que está ejecutando el Gestor de configuración en un sistema denominado WKSTN1, que es miembro de un dominio denominado DOMAIN1. Los usuarios de DOMAIN2 también desean utilizar el entorno de trabajo. Siga estos pasos:

  1. Añada usuarios o grupos de dominio a los nombres de grupo locales que va a utilizar en las ACL.

  2. Cuando cree el Gestor de configuración, utilice la opción -m en el mandato mqsicreateaclentry para asegurar que se tiene el cuenta el dominio al verificar el usuario.

Al iniciar el entorno de trabajo, éste envía automáticamente al Gestor de configuración la información del dominio para el ID de usuario. Habilite la detección de dominio en el Gestor de configuración para acceder a la información del dominio.

Nota: Si está ejecutado un Gestor de configuración con un ID de usuario y un intermediario con un ID de usuario diferente en otro sistema, es posible que vea un mensaje de error al intentar desplegar flujos de mensajes y conjuntos de mensajes en el intermediario. Para evitarlo, realice lo siguiente:
  • Asegúrese de que el ID de usuario del intermediario es miembro de los grupos mqm y mqbrkrs.
  • Defina el ID de usuario del intermediario en el sistema en el que se ejecuta el Gestor de configuración.
  • Defina el ID de usuario del Gestor de configuración en el sistema en el que se ejecuta el intermediario.
  • Asegúrese de que todos los ID estén en minúsculas de forma que sean compatibles entre sistemas.

¿Está ejecutando con la detección de dominio inhabilitada?

Puede establecer la detección de dominio en inhabilitada, pero si ejecuta esta opción significa que la información del dominio para el usuario del entorno de trabajo no se transmite con la información de ID de usuario y, por lo tanto, disminuye la seguridad. Por ello se recomienda ejecutar con la detección de dominio habilitada.

Puede utilizar la opción -a en el mandato mqsicreateaclentry para permitir que se verifique un usuario sin tener en cuenta el dominio.

Para establecer la detección de dominio en inhabilitada, responda a las siguientes preguntas:

  1. ¿Se obtienen los usuarios del entorno de trabajo de un dominio local?
    1. No: vaya a la siguiente pregunta.
    2. Sí: Añada los usuarios a los grupos locales que va a utilizar en las ACL.

      Vaya a Protección del canal entre el entorno de trabajo y el Gestor de configuración.

  2. ¿Se obtienen los usuarios del entorno de trabajo de otro dominio?
    1. Sí: Convierta el otro dominio en un dominio fiable del sistema del Gestor de configuración y, a continuación, añada los grupos y los usuarios del dominio fiable a los grupos locales del Gestor de configuración.

Para más seguridad, ejecute con la detección de dominio y las rutinas de salida de seguridad habilitadas. Para más información sobre las rutinas de salida de seguridad, consulte Rutinas de salida de seguridad.

Desactivación de la detección de dominio de kit de herramientas

El kit de herramientas envía el nombre de usuario y domino al gestor de colas del Gestor de configuración, independientemente del valor de detección de dominio en el Gestor de configuración. Esto puede producir problemas al conectarse al gestor de colas debido a la seguridad necesaria al conectarse, o poner u obtener mensajes.

Para desactivar la detección de dominio en el kit de herramientas, ejecute el kit de herramientas del modo siguiente:
  1. Vaya al directorio dir_instalación\eclipse.
  2. Ejecute el kit de herramientas utilizando el mandato mqsistudio -vmargs -DDomainAware=0.
De forma alternativa, modifique el método abreviado que ejecuta el kit de herramientas y añada -vmargs -DDomainAware=0.

Vaya a Protección del canal entre el entorno de trabajo y el Gestor de configuración

Protección del canal entre el entorno de trabajo y el Gestor de configuración

Cree y habilite una par de rutinas de salida de seguridad para que se ejecuten en los extremos de la conexión del entorno de trabajo y del Gestor de configuración. Utilice estas rutinas de salida para verificar los usuarios del entorno de trabajo en el gestor de seguridad de Windows del sistema del Gestor de configuración.
Si desea ver más información sobre cómo crear y habilitar rutinas de salida de seguridad, consulte Rutinas de salida de seguridad.
Avisos | Marcas registradas | Descargas | Biblioteca | Soporte | Su opinión
Copyright IBM Corporation 1999, 2006 Última actualización: 22/08/2006
ap03985_