流权限

WebSphere MQ Publish/Subscribe中,所有发布和预订权限检查都是依据流队列执行的。发布应用程序需要将消息放入流队列的权限。WebSphere MQ Publish/Subscribe代理还检查预订应用程序的权限,而这些应用程序需要在流队列上的浏览权限。预订应用程序还需要对被指定为接收其发布内容的队列有放入权限。

WebSphere Message Broker 代理进行类似的检查,但是没有检查预订,或浏览权限。 取而代之的是,WebSphere Message Broker 使用“访问控制表”(ACL)(可以使用工作台创建)来为单个主题提供所需的权限。 要获取关于 ACL 的更多信息,请参阅访问运行时资源的权限

在将 WebSphere MQ Publish/Subscribe代理迁移到 WebSphere Message Broker 或将 WebSphere MQ Publish/Subscribe应用程序迁移到 WebSphere Message Broker 上运行之前,必须考虑下列安全性含意:

流权限


流权限

该图显示了所需要的流权限。这个例子假设您已经用发布、预订和持久传递都设置为拒绝的权限更新主体 PublicGroup 上主题根的缺省 ACL。

使用该示例,假设定义了下列组:
必须通过设置 ACL 来授予和拒绝权限,具体操作如下所示:
  1. 必须授予 PDefault 在根上的发布权限,并且必须授予 SDefault 在根上的预订权限。
  2. 必须拒绝 PDefault 在 $SYS/STREAM/ 上的发布权限,并且必须拒绝 SDefault 在 $SYS/STREAM/ 上的预订权限。

    这些设置确保缺省流上的发布程序和订户无法在其他流上发布或预订 ,并且没有覆盖相关设置的显式 ACL。

  3. 必须授予 PStreamX 在 $SYS/STREAM/StreamX/ 上的发布权限,并且必须授予 SStreamX 在 $SYS/STREAM/StreamX/ 上的预订权限。

    这些设置覆盖父代主题上的所有设置,并将发布和预订活动限于这些特定组内部的用户。

  4. 必须授予 PStreamY 在 $SYS/STREAM/StreamY/ 上的发布权限,并且必须授予 SStreamY 在 $SYS/STREAM/StreamY/ 上的预订权限。

    这些设置覆盖父代主题上的所有设置,并将发布和预订活动限于这些特定组内部的用户。

如果要设置这种情况的例外,可在适当点引入 ACL 来完成它。 例如,如果要授予缺省流 PDefault 发布程序在 StreamX 上的发布权限, 必须在第(3)点上创建一个显式 ACL 来授予该权限,从而覆盖第(2)点上的拒绝权限。在这个方案中,PDefault 中的用户仍不能在 StreamY 上发布。

相关概念
访问运行时资源的权限
相关任务
预订
相关参考
MQRFH2 头
声明 | 商标 | 下载 | 书库 | 支持 | 反馈
Copyright IBM Corporation 1999, 2006 最后一次更新时间:2006/08/14
aq18560_