Os serviços de autenticação são suportados apenas entre aplicativos clientes que utilizam os nós Real-timeInput e Real-timeOptimizedFlow do WebSphere MQ Real-time Transport e WebSphere Message Broker.
Os serviços de autenticação do WebSphere Message Broker verificam se um intermediário e um aplicativo cliente são quem eles dizem ser, e podem portanto participar em uma sessão de Publicação/Assinatura.
Cada participante da sessão utiliza um protocolo de autenticação para provar ao outro que eles são quem dizem que são, e não são intrusos personificando um participante válido.
O produto WebSphere Message Broker suporta os quatro protocolos a seguir:
Os dois primeiros desses protocolos e seus requisitos de infra-estrutura estão descritos em Autenticação de Senha Simples, como em Telnet e Autenticação de Senha Mútua com Desafio-Resposta respectivamente. Os protocolos SSL assimétrico e simétrico são descritos em Autenticação SSL.
Os protocolos variam em força, em termos de fornecer proteção contra participantes que não sejam participantes válidos na sessão; P é o mais fraco e R é o mais forte.
O conjunto de protocolos que podem ser suportados por um intermediário específico no domínio do intermediário pode ser configurado utilizando o workbench. Um ou mais protocolos podem ser especificados para cada intermediário. Utilize o workbench para ativar ou desativar a autenticação em cada nó Real-timeInput que esteja definido para um determinado intermediário. Quando a autenticação é ativada em um nó Real-timeInput, esse nó suporta o conjunto completo de protocolos especificados para seu intermediário correspondente. As opções de configuração são ilustradas nos seguintes diagramas:
Este protocolo também pode ser descrito como senha às claras, porque a senha é transmitida sem ser criptografada pela rede. O aplicativo cliente se conecta ao nó Real-timeInput utilizando TCP/IP. O nó input solicita que o cliente se identifique. O cliente envia seu "ID do usuário" e sua senha.
Este protocolo simples depende de o cliente e o intermediário conhecerem a senha associada a um ID de usuário. Em particular, o intermediário necessita de acesso a um repositório de informações de usuários e senhas. As informações de ID do usuário e senha são distribuídas pelo Servidor de Nome de Usuário a todos os intermediários em um domínio do produto WebSphere Message Broker.O Servidor de Nome de Usuário extrai as informações de usuário e senha de um arquivo do sistema operacional.
A abordagem do Servidor de Nome de Usuário permite a manutenção centralizada da origem de usuários e senhas, com distribuição automática das informações aos intermediários e atualizações automáticas das informações caso necessário. Também fornece benefícios de disponibilidade, porque as informações de usuários e senhas são mantidas persistentemente em cada intermediário.
Cada aplicativo cliente precisa conhecer seu próprio ID do usuário e manter sua senha secreta. Ao criar uma conexão, um cliente especifica suas credenciais como uma combinação de nome/senha.
Este protocolo fornece segurança relativamente fraca. Ele não calcula uma chave de sessão, e somente deve ser utilizado em ambientes onde não existam "curiosos" e não haja nenhum "intermediário" não confiável.
Quando as informações de usuário e senha são armazenadas em um sistema de arquivo simples no Servidor de Nomes do Usuário, as senhas são armazenadas e distribuídas "às claras".
A carga computacional no cliente e no servidor é muito leve.
Este é um protocolo mais sofisticado e seguro que envolve a geração de uma chave de sessão secreta. O cliente e o servidor calculam essa chave utilizando a senha do cliente. Eles provam um ao outro que conhecem esse segredo através de um protocolo de desafio e resposta.
O cliente deve satisfazer ao desafio do servidor antes que o servidor satisfaça ao desafio do cliente. Isso significa que um atacante personificando um cliente não poderá reunir informações para montar um ataque de adivinhação de senhas "offline". O cliente e o servidor provam um ao outro que eles conhecem a senha, portanto esse protocolo não é vulnerável a ataques de "personificação".
Como no caso do protocolo simples de senha semelhante a telnet, o intermediário deve ter acesso às informações de usuário e senha. As informações sobre o ID do usuário e a senha são distribuídas pelo Servidor de Nomes do Usuário a todos os intermediários no domínio. O Servidor de Nomes do Usuário extrai as informações de usuário e senha de um arquivo do sistema operacional.
Cada aplicativo cliente precisa conhecer seu próprio ID do usuário e manter sua senha secreta. Ao criar uma conexão, um cliente especifica suas credenciais como uma combinação de nome/senha.
As demandas computacionais no cliente e no servidor são relativamente modestas.