스트림 권한

WebSphere MQ Publish/Subscribe에서 스트림 큐에 대해 모든 publish 및 subscribe 권한 점검이 수행되었습니다.
  • Publish 응용프로그램은 스트림 큐에 메시지를 넣을 권한이 있어야 합니다.
  • WebSphere MQ Publish/Subscribe 브로커는 스트림 큐를 찾아보려는 subscribe 응용프로그램의 권한을 점검합니다.
  • subscribe 응용프로그램은 publication을 수신하기 위해 지정한 큐에 메시지를 넣을 권한이 있어야 합니다.

WebSphere Message Broker 브로커에 의해서도 동일한 점검이 수행되나, subscribe 권한(찾아보기)은 더 이상 점검되지 않습니다.

대신, WebSphere Message Broker는 publish 및 subscribe 액세스를 개별 토픽 레벨까지 계층적으로 정의할 수 있습니다. 이를 수행하려면, Workbench를 사용하여 액세스 제어 목록(ACL)을 작성하십시오.

WebSphere MQ Publish/Subscribe 브로커를 교체 WebSphere Message Broker 브로커에 이주하거나 WebSphere Message Broker에서 실행될 WebSphere MQ Publish/Subscribe 응용프로그램을 이주하기 전에 다음과 같은 보안 관련 사항을 고려해야 합니다.
  • 브로커에 토픽 보안이 적용되어 실행되고 있지 않더라도 publish 응용프로그램에 대해서도 동일한 사항을 점검해야 합니다. WebSphere MQ는 메시지를 스트림이나 publication 큐에 넣을 권한을 계속 점검하기 때문입니다.

    그러나 어떤 입력 큐에서도 WebSphere Message Broker는 스트림 publication을 처리할 수 있습니다. Publisher는 더 이상 스트림과 동일한 이름을 가진 큐에 넣을 필요가 없기 때문입니다. 따라서, 해당 토픽 레벨 규정자를 사용하여 모든 스트림에 대해 동등한 ACL을 설정해야 합니다.

  • WebSphere Message Broker 브로커는 subscribe 응용프로그램이 스트림 큐를 찾기 위한 권한이 있는지 점검하지 않습니다. 대신 WebSphere Message Broker는 고유 접두부 $SYS/STREAM/<streamname>/이 붙어 있는 디폴트 스트림의 일부가 아닌 모든 토픽에 접두부를 붙여 스트림을 모델화합니다. 그러면 스트림의 파티션 특성이 유지되며, 스트림 고유 ACL이 설정될 수 있습니다. 브로커는 디폴트 스트림의 토픽을 변경하지 않습니다. 그러므로 루트 토픽을 사용하여 디폴트 스트림 토픽에 대한 권한을 지정할 수 있습니다.
아래 다이어그램에서는 필수 스트림 권한을 보여줍니다. 이 예에서는 publish, subscribe, 지속 전달 권한이 모두 거부로 설정되어 있는 프린시펄 PublicGroup의 토픽 루트에서 디폴트 ACL을 갱신했다고 가정합니다.
스트림 권한
이 예에서 다음 그룹이 정의된다고 가정해 보십시오.
  • PDefault: 디폴트 스트림에서 publish할 권한이 있는 사용자 그룹
  • SDefault: 디폴트 스트림을 subscribe할 권한이 있는 사용자 그룹
  • PStreamX: StreamX에 publish할 권한이 있는 사용자 그룹
  • SStreamX: StreamX에 subscribe할 권한이 있는 사용자 그룹
  • PStreamY: StreamY에 publish할 권한이 있는 사용자 그룹
  • SStreamY: StreamY에 subscribe할 권한이 있는 사용자 그룹
다음과 같이 ACL을 설정하여 권한을 부여하거나 거부해야 합니다.
  1. PDefault에는 루트에 대한 publish 권한이 부여되어야 하며, SDefault에는 루트에 대한 subscribe 권한이 부여되어야 합니다.
  2. PDefault에는 $SYS/STREAM/에 대한 publish 권한이 거부되어야 하며, SDefault에는 $SYS/STREAM/에 대한 subscribe 권한이 거부되어야 합니다.

    이 설정은 디폴트 스트림의 publisher와 subscriber가 관련 설정을 대체하는 명시적으로 정의된 ACL 없이는 다른 스트림에서 publish 또는 다른 스트림으로 자동으로 subscribe할 수 없도록 합니다.

  3. PStreamX에는 $SYS/STREAM/StreamX/에 대한 publish 권한이 부여되어야 하며, SStreamX에는 $SYS/STREAM/StreamX/에 대한 subscribe 권한이 부여되어야 합니다.

    이 설정은 상위 토픽의 모든 설정을 대체하며, 이러한 특정 그룹 내의 사용자만 publish 및 subscribe 활동을 수행하도록 제한합니다.

  4. PStreamY에는 $SYS/STREAM/StreamY/에 대한 publish 권한이 부여되어야 하며, SStreamY에는 $SYS/STREAM/StreamY/에 대한 subscribe 권한이 부여되어야 합니다.

    이 설정은 상위 토픽의 모든 설정을 대체하며, 이러한 특정 그룹 내의 사용자만 publish 및 subscribe 활동을 수행하도록 제한합니다.

이러한 상황에 대한 예외를 설정하려면 적절한 지점에 ACL을 도입하면 됩니다. 예를 들면, 디폴트 스트림(PDefault)의 publisher에 StreamX에서 publish할 권한을 부여하려는 경우, (2) 지점에서의 권한 거부 대체를 통해 (3) 지점에서 명시적 ACL을 작성해야만 해당 권한을 부여할 수 있습니다. 이 시나리오에서 PDefault의 사용자는 StreamY에서 publish할 수 없습니다.

주의사항 | 등록상표 | 다운로드 | 라이브러리 | 지원 | 피드백
Copyright IBM Corporation 1999, 2006 마지막 갱신 날짜: 2006/08/21
aq19820_