Real Time 노드에 SSL 사용

WebSphere Message Broker 인증 서비스는 JMS 클라이언트와 WebSphere Message Broker의 Real-timeInput 노드 간에만 지원되는 선택적 기능을 제공합니다.

디폴트 구성에서 인증 서비스는 사용할 수 없습니다.

인증 서비스를 사용하도록 제품을 구성하려면 다음 단계를 완료하십시오.

사용자 이름 서버 구성

사용자 이름 서버는 이러한 인증 프로토콜을 지원하는 데 필요한 정보(특히, 암호)를 브로커로 분배합니다.

사용자 이름 서버가 인증을 지원하도록 구성하기 위해 mqsicreateusernameservermqsichangeusernameserver 명령에 대한 두 개의 매개변수가 제공됩니다.

첫 번째 매개변수인 AuthProtocolDataSource는 인증 프로토콜을 지원하기 위해 필요한 정보를 포함하는 운영 체제 파일의 위치를 나타냅니다.

두 번째 매개변수인 -j 플래그는 AuthProtocolDataSource 매개변수가 가리키는 파일에 암호 정보 및 그룹과 그룹 멤버쉽 정보가 포함되는지 여부를 나타냅니다.

mqsichangeusernameserver 명령은 사용 불가능하게 하는 옵션 -d 플래그도 지원합니다.

브로커 구성

브로커가 WebSphere Message Broker 인증 서비스를 지원하도록 구성하십시오. 두 인증 및 액세스 제어 매개변수를 지정하고 Workbench를 사용하여 적절한 Real-timeInput 노드 및 브로커에서 지원할 프로토콜 세트를 구성해야 합니다.

다음 단계는 이를 수행하는 방법을 표시합니다.

샘플 암호 파일

password.datpwgroup.dat라는 두 샘플 파일이 WebSphere Message Broker에 제공됩니다.

pwgroup.dat-j 플래그를 설정할 때 사용할 수 있는 샘플 파일입니다.

password.dat는 디폴트 상황에서 사용할 수 있는 샘플 파일입니다.

password.dat의 레이아웃은 다음과 같습니다.
# This is a password file.

# Each line contains two required tokens delimited by
# commas. The first is a user ID, the second is that user's
# password.

#USERNAME PASSWORD
========================
subscriber,subpw
admin,adminpw
publisher,pubpw 
이 파일은 사용자 이름 서버가 운영 체제에서 도출한 사용자 및 그룹 정보를 보완합니다. 파일에는 정의되어 있지만 운영체제에는 정의되어 있지 않은 사용자 이름은 브로커 도메인에서 인식하지 않는 것으로 간주됩니다. 운영 체제에는 정의되어 있지만 암호 파일에는 정의되어 있지 않은 사용자 이름은 시스템 액세스가 거부됩니다.

pwgroup.dat에는 사용자와 암호 정보 및 그룹 정보가 포함되어 있습니다. 각 사용자 항목에는 사용자를 포함하는 그룹을 지정하는 그룹 이름 목록이 포함됩니다.

pwgroup.dat의 레이아웃은 다음과 같습니다.
#This is a password file.
#Each line contains two or more required tokens delimited by
#commas.The first is a user ID and the second is that user's
#password. All subsequent tokens 
#specify the set of groups that the user belongs to.  

#USERNAME PASSWORD  GROUPS 
subscriber,subpw,group1,group2,group3 
admin,adminpw,group2 
publisher,pubpw,group2,group4 
위에 언급된 대로, 이 파일은 브로커 도메인에 사용자, 그룹 및 암호 정보 소스만 제공하기 위해 사용할 수 있습니다.

갱신된 사용자 및 암호 정보가 운영 체제 파일에서 도출된 경우 해당 정보를 도출하려면 사용자 이름 서버 및 브로커를 정지하고 파일을 갱신한 다음, 사용자 이름 서버와 브로커를 재시작 하십시오.

운영 체제에서 암호를 도출할 때 브로커로 갱신사항이 자동으로 분배됩니다. 사용자 또는 암호를 변경하려면 일반 운영 체제 관리 도구를 사용하십시오.

JMS 클라이언트에서의 인증

CSD4 이전의 JMS(Java Message Service) 버전 5.3용 WebSphere MQ 클래스를 사용하는 클라이언트 응용프로그램의 경우, 클라이언트 응용프로그램의 인증 프로토콜 레벨은 항상 PM입니다. 클라이언트 응용프로그램과 브로커는 세션에 사용할 프로토콜을 선택하기 위해 통신합니다. 브로커가 두 프로토콜을 모두 지원하는 경우(즉, 브로커의 Workbench 정의에서 PM 또는 MP를 설정한 경우), Workbench에 지정된 첫 번째 프로토콜이 선택됩니다.

Java Message Service 버전 5.3, CSD10(APAR IC47044 적용) 또는 CSD11의 WebSphere MQ 클래스를 사용하는 클라이언트 응용프로그램의 경우 클라이언트 응용프로그램은 인증의 두 레벨을 지원합니다.

TopicConnectionFactory가 MQJMS_DIRECTAUTH_BASIC 인증 모드 또는 MQJMS_DIRECTAUTH_CERTIFICATE 인증 모드를 지원하도록 구성할 수 있습니다. MQJMS_DIRECTAUTH_BASIC 인증 모드는 PM 레벨과 동등하고 MQJMS_DIRECTAUTH_CERTIFICATE 인증 모드는 SR 레벨과 동등합니다.

Real-timeInput 노드에 인증 서비스가 정상적으로 구성된 경우, JMS 클라이언트 응용프로그램은 연결을 작성할 때 신임을 지정해야 합니다. 그러기 위해 JMS 클라이언트 응용프로그램이 TopicConnectionFactory.createTopicConnection 메소드에 사용자/암호 조합을 제공합니다.
factory.createTopicConnection("user1", "user1pw");

신임이 지정되지 않았거나 잘못 지정된 경우, 응용프로그램은 MQJMS 오류 텍스트가 포함된 JMS 줄 바꿈 예외를 수신하게 됩니다.

주의사항 | 등록상표 | 다운로드 | 라이브러리 | 지원 | 피드백
Copyright IBM Corporation 1999, 2006 마지막 갱신 날짜: 2006/08/21
ap12233_