启用基于主题的安全性

如果应用程序使用代理的发布/预订服务,您可以把其他级别的安全性应用到有关发布和预订消息的主题。该基于主题的安全性由用户名称服务器管理。

请完成以下步骤:

  1. 创建用户名称服务器之前,请参阅考虑用户名称服务器的安全性
  2. 创建用户名称服务器。请参阅创建用户名称服务器
  3. mqsicreatebrokermqsichangebroker 命令上,为用户名称服务器的队列管理器名称选择 -j 标志并设置 -s 参数。
  4. mqsicreateconfigmgrmqsichangeconfigmgr 命令上,为用户名称服务器的队列管理器名称设置 -s 参数。
  5. 为需要附加安全性的主题创建 ACL。有关更多信息,请参阅创建 ACL 条目
  6. 确保代理服务用户标识具有以下权限:
    1. 从包含在消息流内的每个输入队列获取消息
    2. 将消息放入消息流内的任何输出、应答和故障队列。
  7. 确保用于运行发布和预订应用程序的用户标识具有足够的权限来将消息放入消息流队列,或从消息流队列获取消息:
    1. 授权发布应用程序将消息放入消息流的输入队列。
    2. 授权注册预订的应用程序将消息放入 SYSTEM.BROKER.CONTROL.QUEUE 队列。
    3. 授权预订应用程序从用于接收发布消息的队列中获取消息。
    4. 授权发布和预订应用程序从应答队列中获取消息。

如果从 JMS 客户机发出发布/预订请求,则可以使用附加的安全性选项。请参阅 SSL 认证保护级别认证服务

转至考虑配置管理器的安全性

考虑用户名称服务器的安全性

通过回答以下问题完成该任务:
您是否在代理中启用了基于主题的安全性?
  1. 否:转至考虑配置管理器的安全性
  2. 是:您需要用户名称服务器。转至确定哪些用户帐户可以执行用户名称服务器命令

确定哪些用户帐户可以执行用户名称服务器命令

在该任务中,确定该用户标识需要哪些许可权:
  • 创建、更改、列出、删除、启动和停止用户名称服务器
  • 显示、检索和更改跟踪信息。

回答下列问题:

  1. 用户名称服务器是否安装在 LinuxUNIX 操作系统上?
    1. 否:转至下一个问题。
    2. 是:有关在 LinuxUNIX 上执行用户名称服务器命令的信息尚不可用。

      转至确定哪个用户帐户要用于用户名称服务器服务标识

  2. 您是否在 Windows 本地帐户下执行用户名称服务器命令?
    1. 否:转至下一个问题。
    2. 是:假设您的本地帐户在名为 WKSTN1 的机器上。创建用户名称服务器时,确保在您的本地域中定义用户标识。创建或启动用户名称服务器时,确保您的用户标识是 WKSTN1\Administrators 的成员。

      转至确定哪个用户帐户要用于用户名称服务器服务标识

  3. 您是否在 Windows 域帐户下执行用户名称服务器命令?
    1. 是:假设名为 WKSTN1 的计算机是名为 DOMAIN1 的域的成员。 当您使用 DOMAIN1\user1(示例)创建用户名称服务器时,确保 DOMAIN1\user1 是 WKSTN1\Administrators 的成员。

      转至确定哪个用户帐户要用于用户名称服务器服务标识

确定哪个用户帐户要用于用户名称服务器服务标识

mqsicreateusernameservermqsichangeusernameserver 命令上使用 -i 选项设置服务标识的时候,确定用户名称服务器组件过程运行时所使用的用户标识。

回答下列问题:

  1. 用户名称服务器是否安装在 LinuxUNIX 操作系统上?
    1. 否:转至下一个问题。
    2. 是:有关在 LinuxUNIX 上运行用户名称服务器的信息尚不可用。

      转至在用户名称服务器的队列上设置安全性

  2. 您想要在 Windows 本地帐户下运行用户名称服务器吗?
    1. 否:转至下一个问题。
    2. 是:确保您的用户标识已在本地域中定义并且是 mqbrkrs 的成员。

      转至在用户名称服务器的队列上设置安全性

  3. 您想要在 Windows 域帐户下运行用户名称服务器吗?
    1. 是:假设名为 WKSTN1 的计算机是名为 DOMAIN1 的域的成员。当您使用 DOMAIN1\user1(示例)运行用户名称服务器时,确保 DOMAIN1\user1 是 DOMAIN1\Domain mqbrkrs 的成员,并且 DOMAIN1\Domain mqbrkrs 是 WKSTN1\mqbrkrs 的成员。

      转至在用户名称服务器的队列上设置安全性

用户名称服务器的队列上设置安全性

运行 mqsicreateusernameserver 命令时,mqbrkrs 组获得对以下队列的访问权限:
  • SYSTEM.BROKER.SECURITY.QUEUE
  • SYSTEM.BROKER.MODEL.QUEUE
只有代理和配置管理器需要对用户名称服务器队列的访问权。

在域环境中运行用户名称服务器

当发出发布和预订命令的用户是域用户时,为这些用户所在的域在 mqsicreateusernameserver 命令上设置 -d 选项。发出发布和预订命令的所有用户必须来自同一个域。

声明 | 商标 | 下载 | 书库 | 支持 | 反馈
Copyright IBM Corporation 1999, 2006 最后一次更新时间:2006/08/14
ap03983_