변경 시작

액세스 제어 목록

액세스 제어 목록(ACL)은 오브젝트에 대한 사용자의 액세스를 허용하거나 거부합니다. 그러나 ACL 항목은 사용자의 ID를 확인할 수 없기 때문에 오브젝트에 대한 보안을 유지하지 못합니다. ACL 항목에는 사용자 이름이 포함되어 있으며, 호스트 이름 또는 도메인 이름을 지정할 수 있습니다. 예를 들어 허가된 Windows 도메인 이름과 동일한 호스트 이름을 가진 컴퓨터에서 계정을 작성함으로써 사용자는 오브젝트에 액세스할 수 있습니다. ACL 항목을 사용하여 브로커 도메인의 오브젝트에 대한 액세스를 제어할 수 있지만 브로커 도메인의 보안을 ACL 항목에 의존하지 마십시오. SSL 또는 보안 엑시트를 사용하여 브로커 도메인의 구성요소 간의 채널에 보안을 유지하십시오.

WebSphere Message Broker는 액세스 제어 목록(ACL) 항목을 사용하여 브로커 도메인에서 오브젝트를 조작할 수 있는 사용자 및 그룹을 제어합니다. 사용자 또는 그룹에 부여할 수 있는 네 개의 서로 다른 액세스 레벨(전체, 보기, 전개 및 편집)이 있습니다. 모든 액세스 레벨이 모든 오브젝트 유형에 대해 유효한 것은 아닙니다. 각 오브젝트 유형에 적용할 수 있는 사용권한의 목록과 사용자 또는 그룹이 수행할 수 있는 조치의 요약에 대해서는 ACL 사용권한을 참조하십시오.

브로커 관리자가 작성해야 하는 액세스 제어 항목 수를 줄이기 위해 ACL 사용권한은 계층 구조로 작동합니다. 트리의 루트는 세 개의 하위(RootTopic, Subscriptions 및 PubSubTopology)가 있는 ConfigManangerProxy 오브젝트입니다. PubSubTopology 오브젝트는 0개 이상의 브로커를 하위로 가지며, 각 브로커는 0개 이상의 실행 그룹을 하위로 가질 수 있습니다. 주어진 오브젝트에 ACL 입력 항목이 추가될 때 다른 ACL 항목으로 대체되지 않으면 해당 오브젝트 및 계층에서 아래에 있는 모든 오브젝트에 해당 사용권한이 부여됩니다.

z/OS에서 구성 관리자가 ESM(External Security Manager) 데이터베이스에서 사용자 ID 및 그룹 정보를 확보하게 하려면 사용자 ID 및 그룹의 OMVS 세그먼트를 정의해야 합니다.

다음 다이어그램에서는 계층 예를 보여줍니다.

이 다이어그램은 계층 예를
보여줍니다. 루트는 세 개의 하위(RootTopic, Subscriptions
및 PubSubTopology)를 갖는 CMP입니다. PubSubTopology는 두 개의 하위(Broker1 및 Broker2)를 갖습니다. 각
브로커는 두 개의 하위(Eg1A 및 Eg1B)를 갖습니다.

다음 예에서는 이 계층 구조가 실제로 작동하는 방식을 보여줍니다.

예 1

UserA에는 액세스 제어 입력 항목이 없습니다. 따라서 UserA는 계층에서 임의의 오브젝트를 조작하거나 계층에 정의된 오브젝트를 볼 수 없습니다.

예 2

UserB는 실행 그룹 Eg1A에 대한 전개 권한을 부여하는 ACL 항목을 가지고 있습니다. 이 ACL 항목은 PubSubTopology 및 Broker1에 대한 묵시적 보기 권한을 부여합니다. Eg1A에 전개하려면 UserB는 PubSubTopology 및 Broker1를 볼 수 있어야 합니다(예를 들어 Message Brokers Toolkit에서).

UserB는 PubSubTopology 또는 Broker1에 대한 ACL 항목을 가지고 있지 않기 때문에, UserB는 계층 내에 있는 다른 브로커 또는 실행 그룹에 대한 액세스를 상속하지 않습니다. 실제로 이는 UserB가 브로커 Broker1에 정의된 다른 실행 그룹이 있음을 알 수 있지만 실행 그룹의 이름을 포함하여 세부사항은 볼 수 없음을 의미합니다. 마찬가지로 UserB는 다른 브로커가 토폴로지 내에 존재함을 알 수 있지만 세부사항은 볼 수 없습니다. UserB는 RootTopic 또는 Subscription(subscription 테이블)에 대한 액세스 권한이 없습니다.

다음 명령은 UserB에 대한 ACL 항목을 작성합니다.
mqsicreateaclentry testcm -u UserB -a -x D -b Broker1 -e Eg1A
그런 다음, mqsilistaclentry 명령은 다음 정보를 표시합니다.
BIP1778I: userb -USER  -  D  -  Broker1/Eg1A      -  ExecutionGroup

예 3

UserC는 구성 관리자 프록시(CMP)에 대한 보기 권한을 부여하는 ACL 항목 및 Broker1에 대한 전체 권한을 부여하는 ACL 항목을 가지고 있습니다. 이 ACL 항목은 다음가 같은 권한을 부여합니다.

CMP 보기
RootTopic 보기
Subs 보기
토폴로지 보기
Broker1 전체
Eg1A 전체
Eg1B 전체
Broker2 보기
Eg2A 보기
Eg2B 보기

다음 명령은 UserC에 대한 ACL 항목을 작성합니다.
mqsicreateaclentry testcm -u UserC -a -x V -p
mqsicreateaclentry testcm -u UserC -a -x F -b Broker1
그런 다음, mqsilistaclentry 명령은 다음 정보를 표시합니다.
BIP1778I: userc                -  USER  -  V  -  ConfigManagerProxy  -  ConfigManagerProxy
BIP1778I: userc                -  USER  -  F  -  Broker1              -  Broker

예 4

UserD는 CMP에 대한 전체 권한을 부여하는 ACL 항목 및 Broker1에 대한 보기 권한을 부여하는 ACL 항목을 가지고 있습니다. UserD에게 Broker1에 액세스할 수 있는 보기 권한을 부여하더라도 UserD는 전체 권한을 상속하지 못합니다. 이렇게 보기 ACL 항목을 사용하면 일반적으로 주어진 오브젝트에 대한 전체 제어를 갖는 사용자가 일시적으로 액세스를 줄여 우발적인 삭제 또는 전개를 방지할 수 있으므로 유용합니다. 사용자가 오브젝트를 전체 제어해야 하는 경우, 보기 항목을 제거하면 전체 권한이 복원되므로 필요한 조작을 수행한 후 보기 항목을 복원할 수 있습니다. UserD에는 다음 권한이 있습니다.

CMP 전체
RootTopic 전체
Subs 전체
토폴로지 전체
Broker1 보기
Eg1A 보기
Eg1B 보기
Broker2 전체
Eg2A 전체
Eg2B 전체

다음 명령은 UserD에 대한 ACL 항목을 작성합니다.
mqsicreateaclentry testcm -u UserD -a -x F -p
mqsicreateaclentry testcm -u UserD -a -x V -b Broker1
그런 다음, mqsilistaclentry 명령은 다음 정보를 표시합니다.
BIP1778I: userd                -  USER  -  F  -  ConfigManagerProxy  -  ConfigManagerProxy
BIP1778I: userd                -  USER  -  V  -  Broker1              -  Broker
그런 다음, 다음 명령은 UserD에 대한 ACL 항목을 삭제할 수 있습니다.
mqsideleteaclentry testcm -u UserD -a -b Broker1

오브젝트에 대한 액세스 제어 항목을 변경하려면 사용자가 해당 오브젝트 또는 계층의 상위에 대한 전체 권한을 갖고 있어야 합니다. 이는 ACL 자체를 변경할 수 있는 사용권한이 앞서 설명한 것과 동일한 방법으로 작동함을 의미합니다. 단, 트리 아래로 하위 권한을 부여하여 ACL에 대한 액세스를 제거할 수는 없습니다. 그렇지 않으면 사용자가 ACL에 보기 항목을 제공할 수는 있고 제거할 수는 없기 때문에 이는 필수입니다.

Java 구성 관리자 프록시 API를 사용하거나 mqsicreateaclentry, mqsideleteaclentrymqsilistaclentry 명령을 사용하여 ACL 입력 항목을 조작할 수 있습니다.

관련 개념
런타임 자원에 액세스 권한 부여
z/OS에서 구성 관리자가 사용자 ID 정보 확보
토픽 기반 보안
관련 태스크
브로커 도메인 보안 설정
토픽 기반 보안 사용
진행 중인 전개 취소
새 토픽 추가
관련 참조
mqsicreateaclentry 명령
mqsideleteaclentry 명령
mqsilistaclentry 명령
ACL 사용권한
주의사항 | 등록상표 | 다운로드 | 라이브러리 | 지원 | 피드백
Copyright IBM Corporation 1999, 2006 마지막 갱신 날짜: 2006/08/21
ap01380_


변경 끝