Abilitazione della sicurezza basata sull'argomento

Se l'applicazione utilizza i servizi pubblicazione/sottoscrizione di un broker, è possibile applicare un ulteriore livello di sicurezza agli argomento sui cui vengono pubblicati e sottoscritti i messaggi. Questa sicurezza basata sull'argomento viene gestita dal Server nomi utente.

Completare i seguenti passi:

  1. Prima di creare un Server nomi utente, fare riferimento a Sicurezza relativa ad un Server nomi utente.
  2. Creare un Server nomi utente. Fare riferimento a Creazione di un Server nomi utente.
  3. Selezionare l'indicatore -j ed impostare il parametro -s sul nome del gestore code per il Server nomi utente nel comando mqsicreatebroker o mqsichangebroker.
  4. Impostare il parametro -s nel comando mqsicreateconfigmgr o mqsichangeconfigmgr sul nome del gestore code per il Server nomi utente.
  5. Creare gli ACL per gli argomenti che richiedono ulteriore sicurezza. Per ulteriori informazioni, fare riferimento a Creazione di voci ACL.
  6. Assicurarsi che l'ID utente del servizio del broker disponga dell'autorizzazione per:
    1. Acquisire i messaggi da ciascuna coda di input inclusa in un flusso di messaggi
    2. Indirizzare i messaggi a qualsiasi coda di errore, di risposta e di output inclusa in un flusso di messaggi.
  7. Assicurarsi che gli ID utente con cui vengono eseguite le applicazioni di pubblicazione e sottoscrizione dispongano delle autorizzazioni sufficienti per l'indirizzamento e l'acquisizione dalle code del flusso di messaggi:
    1. Autorizzare le applicazioni di pubblicazione ad indirizzare i messaggi alla coda di input del flusso di messaggi.
    2. Autorizzare le applicazioni che registrano le sottoscrizioni ad eseguire inserimenti nella coda SYSTEM.BROKER.CONTROL.QUEUE.
    3. Autorizzare le applicazioni di sottoscrizione ad eseguire acquisizioni dalla coda su cui sono pubblicati i messaggi.
    4. Autorizzare le applicazioni di pubblicazione e sottoscrizione ad eseguire acquisizioni dalla coda di risposta.

Se si stanno immettendo richieste pubblicazione/sottoscrizione da un client JMS, sono disponibili ulteriori opzioni di sicurezza. Fare riferimento a Autenticazione SSL, Qualità di protezione, e Servizi di autenticazione.

Passare a Considerazioni sulla sicurezza per Gestione configurazione.

Sicurezza relativa ad un Server nomi utente

Completare questa attività rispondendo alle seguenti domande:
E' stata abilitata la sicurezza basata sull'argomento nel broker in uso?
  1. No: Passare a Considerazioni sulla sicurezza per Gestione configurazione.
  2. Sì: E' necessario un Server nomi utente. Passare a Scelta degli account utente che possono eseguire i comandi del Server nomi utente.

Scelta degli account utente che possono eseguire i comandi del Server nomi utente

In questa attività vengono decise le autorizzazioni che sono richieste per gli ID utente che possono:
  • Creare, modificare, ottenere un elenco, eliminare, avviare e arrestare un Server nomi utente
  • Visualizzare, richiamare e modificare informazioni di traccia.

Rispondere alle seguenti domande:

  1. Il Server nomi utente in uso è installato su un sistema operativo Linux o UNIX?
    1. No: Passare alla domanda successiva.
    2. Sì: Le informazioni sull'esecuzione dei comandi Server nomi utente su Linux e UNIX non sono ancora disponibili.

      Passare a Scelta dell'account utente da utilizzare per l'ID di servizio del Server nomi utente.

  2. Si stanno eseguendo comandi del Server nomi utente con un account locale Windows?
    1. No: Passare alla domanda successiva.
    2. Sì: Assumere che l'account locale in uso sia su un computer denominato, ad esempio, WKSTN1. Quando si crea un Server nomi utente, assicurarsi che l'ID utente in uso sia definito nel dominio locale. Quando si crea o si avvia un Server nomi utente, assicurarsi che l'ID utente in uso sia un membro di WKSTN1\Administrators.

      Passare a Scelta dell'account utente da utilizzare per l'ID di servizio del Server nomi utente.

  3. Si stanno eseguendo comandi del Server nomi utente con un account di dominio Windows?
    1. Sì: Assumere che il computer in uso denominato, ad esempio, WKSTN1, sia un membro di un dominio denominato DOMAIN1. Quando si crea un Server nomi utente utilizzando, ad esempio, DOMAIN1\user1, assicurarsi che DOMAIN1\user1 sia un membro di WKSTN1\Administrators.

      Passare a Scelta dell'account utente da utilizzare per l'ID di servizio del Server nomi utente.

Scelta dell'account utente da utilizzare per l'ID di servizio del Server nomi utente

Quando si imposta l'ID di servizio con l'opzione -i nel comando mqsicreateusernameserver o mqsichangeusernameserver, si determina l'ID utente con cui viene eseguito il processo del componente del Server nomi utente.

Rispondere alle seguenti domande:

  1. Il Server nomi utente in uso è installato su un sistema operativo Linux o UNIX?
    1. No: Passare alla domanda successiva.
    2. Sì: Le informazioni sull'esecuzione del Server nomi utente su Linux e UNIX non sono ancora disponibili.

      Passare a Impostazione della sicurezza sulle code del Server nomi utente

  2. Si desidera che il Server nomi utente in uso venga eseguito con un account locale Windows?
    1. No: Passare alla domanda successiva.
    2. Sì: Assicurarsi che l'ID utente sia definito nel dominio locale e sia membro di mqbrkrs.

      Passare a Impostazione della sicurezza sulle code del Server nomi utente

  3. Si desidera che il Server nomi utente in uso venga eseguito con un account di dominio Windows?
    1. Sì: Assumere che il computer in uso denominato, ad esempio, WKSTN1, sia un membro di un dominio denominato DOMAIN1. Quando si esegue un Server nomi utente utilizzando, ad esempio, DOMAIN1\user1, assicurarsi che: DOMAIN1\user1 sia un membro di DOMAIN1\Domain mqbrkrs e DOMAIN1\Domain mqbrkrs sia un membro di WKSTN1\mqbrkrs.

      Passare a Impostazione della sicurezza sulle code del Server nomi utente.

Impostazione della sicurezza sulle code del Server nomi utente

Quando si esegue il comando mqsicreateusernameserver, il gruppo mqbrkrs ottiene l'autorizzazione all'accesso alle seguenti code:
  • SYSTEM.BROKER.SECURITY.QUEUE
  • SYSTEM.BROKER.MODEL.QUEUE
Solo il broker e Gestione configurazione richiedono l'accesso alle code del Server nomi utente.

Esecuzione del Server nomi utente in un ambiente del dominio

Quando gli utenti che immettono i comandi di pubblicazione e sottoscrizione sono utenti del dominio, impostare l'opzione -d nel comando mqsicreateusernameserver sul dominio a cui appartengono tali utenti. Tutti gli utenti che immettono comandi di pubblicazione e sottoscrizione devono appartenere allo stesso dominio.

Informazioni particolari | Marchi | Download | Libreria | Supporto | Commenti
Copyright IBM Corporation 1999, 2006 Ultimo aggiornamento: ago 17, 2006
ap03983_