토픽 기반 보안 사용

응용프로그램이 브로커의 publish/subscribe 서비스를 사용하면, 메시지가 publish 및 subscribe되는 토픽에 추가 보안 레벨을 적용할 수 있습니다. 이 토픽 기반 보안은 사용자 이름 서버에 의해 관리됩니다.

다음 단계를 완료하십시오.

  1. 사용자 이름 서버를 작성하기 전에 사용자 이름 서버의 보안 고려를 참조하십시오.
  2. 사용자 이름 서버를 작성하십시오. 사용자 이름 서버 작성을 참조하십시오.
  3. mqsicreatebroker 또는 mqsichangebroker 명령에서 -j 플래그를 선택하고 사용자 이름 서버의 큐 관리자 이름에 -s 매개변수를 설정하십시오.
  4. mqsicreateconfigmgr 또는 mqsichangeconfigmgr 명령의 -s 매개변수를 사용자 이름 서버의 큐 관리자 이름으로 설정하십시오.
  5. 추가 보안을 필요로 하는 토픽에 대한 ACL을 작성하십시오. 자세한 정보는 ACL 입력 작성을 참조하십시오.
  6. 브로커의 서비스 사용자 ID가 다음을 수행할 수 있는 권한이 있는지 확인하십시오.
    1. 메시지 플로우에 포함된 각 입력 큐에서 메시지를 가져옵니다.
    2. 메시지 플로우에 포함된 출력, 응답 및 실패 큐에 메시지를 넣습니다.
  7. Publish 및 Subscribe 응용프로그램을 실행하는 사용자 ID가 메시지 플로우 큐에 메시지를 넣고 가져올 수 있는 필요한 권한이 가지고 있는지 확인하십시오.
    1. Publish 응용프로그램이 메시지 플로우의 입력 큐에 메시지를 넣을 수 있도록 권한을 부여하십시오.
    2. Subscription을 등록하는 응용프로그램이 SYSTEM.BROKER.CONTROL.QUEUE 큐에 넣을 수 있는 권한을 부여하십시오.
    3. Subscribe 응용프로그램이 메시지가 publish되는 큐에서 가져올 수 있도록 권한을 부여하십시오.
    4. Publish 및 Subscribe 응용프로그램이 응답 큐에서 가져올 수 있도록 권한을 부여하십시오.

JMS 클라이언트에서 publish/subscribe 요청을 발행하는 경우, 추가 보안 옵션을 사용할 수 있습니다. SSL 인증, QoP(Quality of Protection)인증 서비스를 참조하십시오.

구성 관리자의 보안 고려사항으로 이동하십시오.

사용자 이름 서버의 보안 고려

다음 질문에 응답하여 이 작업을 완료하십시오.
브로커에서 토픽 기반 보안이 사용 가능합니까?
  1. 아니오: 구성 관리자의 보안 고려사항으로 이동하십시오.
  2. 예: 사용자 이름 서버가 필요합니다. 사용자 이름 서버 명령을 실행할 수 있는 사용자 계정 결정으로 가십시오.

사용자 이름 서버 명령을 실행할 수 있는 사용자 계정 결정

이 작업 중에 다음을 수행하는 사용자 ID에 필요한 권한을 결정해야 합니다.
  • 사용자 이름 서버 작성, 변경, 나열, 삭제, 시작 및 정지
  • 추적 정보 표시, 검색 및 변경

다음 질문에 응답하십시오.

  1. Linux 또는 UNIX 운영 체제에 사용자 이름 서버가 설치되어 있습니까?
    1. 아니오: 다음 질문으로 이동하십시오.
    2. 예: LinuxUNIX에서 사용자 이름 서버 명령 실행에 대한 정보가 사용 가능하지 않습니다.

      사용자 이름 서버 서비스 ID로 사용할 사용자 계정 결정으로 가십시오.

  2. Windows 로컬 계정으로 사용자 이름 서버 명령을 실행 중입니까?
    1. 아니오: 다음 질문으로 이동하십시오.
    2. 예: 로컬 계정이 WKSTN1과 같이 이름 지정된 컴퓨터에 있다고 가정하십시오. 사용자 이름 서버를 작성할 때, 로컬 도메인에 사용자 ID가 정의되었는지 확인하십시오. 사용자 이름 서버를 작성하거나 시작할 때, 사용자 ID가 WKSTN1\Administrators의 구성원인지 확인하십시오.

      사용자 이름 서버 서비스 ID로 사용할 사용자 계정 결정으로 가십시오.

  3. Windows 도메인 계정으로 사용자 이름 서버 명령을 실행 중입니까?
    1. 예: WKSTN1과 같이 이름 지정된 컴퓨터가 DOMAIN1 도메인의 구성원이라고 가정하십시오. 예를 들면, DOMAIN1\user1를 사용하여 사용자 이름 서버를 작성할 때, DOMAIN1\user1이 WKSTN1\Administrators의 구성원인지 확인하십시오.

      사용자 이름 서버 서비스 ID로 사용할 사용자 계정 결정으로 가십시오.

사용자 이름 서버 서비스 ID로 사용할 사용자 계정 결정

mqsicreateusernameserver 또는 mqsichangeusernameserver 명령에서 -i 옵션으로 서비스 ID를 정할 때, 사용자 이름 서버 구성요소 프로세스를 실행하는 사용자 ID를 결정해야 합니다.

다음 질문에 응답하십시오.

  1. Linux 또는 UNIX 운영 체제에 사용자 이름 서버가 설치되어 있습니까?
    1. 아니오: 다음 질문으로 이동하십시오.
    2. 예: LinuxUNIX에서 사용자 이름 서버 실행에 대한 정보가 사용 가능하지 않습니다.

      사용자 이름 서버의 큐에 보안 설정으로 가십시오.

  2. Windows 로컬 계정으로 사용자 이름 서버를 실행하시겠습니까?
    1. 아니오: 다음 질문으로 이동하십시오.
    2. 예: 사용자 ID가 로컬 도메인에 정의되어 있고 mqbrkrs의 구성원인지 확인하십시오.

      사용자 이름 서버의 큐에 보안 설정으로 가십시오.

  3. Windows 도메인 계정으로 사용자 이름 서버를 실행하시겠습니까?
    1. 예: WKSTN1과 같이 이름 지정된 컴퓨터가 DOMAIN1 도메인의 구성원이라고 가정하십시오. 예를 들어 DOMAIN1\user1을 사용하여 사용자 이름 서버를 실행할 때 DOMAIN1\user1이 DOMAIN1\Domain mqbrkrs의 구성원인지 및 DOMAIN1\Domain mqbrkrs가 WKSTN1\mqbrkrs의 구성원인지를 확인하십시오.

      사용자 이름 서버의 큐에 보안 설정으로 가십시오.

사용자 이름 서버의 큐에 보안 설정

mqsicreateusernameserver 명령을 실행할 때 mqbrkrs 그룹은 다음 큐에 대한 액세스 권한을 가져옵니다.
  • SYSTEM.BROKER.SECURITY.QUEUE
  • SYSTEM.BROKER.MODEL.QUEUE
브로커와 구성 관리자에만 사용자 이름 서버 큐에 대한 액세스가 필요합니다.

도메인 환경에서 사용자 이름 서버 실행

publish 및 subscribe 명령을 발행하는 사용자가 도메인 사용자인 경우 mqsicreateusernameserver 명령의 -d 옵션을 해당 사용자가 속한 도메인에 설정하십시오. publish 및 subscribe 명령을 발행하는 모든 사용자는 동일한 도메인에 속해야 합니다.

주의사항 | 등록상표 | 다운로드 | 라이브러리 | 지원 | 피드백
Copyright IBM Corporation 1999, 2006 마지막 갱신 날짜: 2006/08/21
ap03983_