Serviços de Autenticação

Os serviços de autenticação são suportados apenas entre aplicativos clientes que utilizam os nós Real-timeInput e Real-timeOptimizedFlow do WebSphere MQ Real-time Transport e WebSphere Message Broker.

Os serviços de autenticação do WebSphere Message Broker verificam se um intermediário e um aplicativo cliente são quem eles dizem ser, e podem portanto participar em uma sessão de Publicação/Assinatura.

Cada participante da sessão utiliza um protocolo de autenticação para provar ao outro que eles são quem dizem que são, e não são intrusos personificando um participante válido.

O produto WebSphere Message Broker suporta os quatro protocolos a seguir:

Os dois primeiros desses protocolos e seus requisitos de infra-estrutura estão descritos em Autenticação de Senha Simples, como em Telnet e Autenticação de Senha Mútua com Desafio-Resposta respectivamente. Os protocolos SSL assimétrico e simétrico são descritos em Autenticação SSL.

Os protocolos variam em força, em termos de fornecer proteção contra participantes que não sejam participantes válidos na sessão; P é o mais fraco e R é o mais forte.

Configurando os protocolos de autenticação

O conjunto de protocolos que podem ser suportados por um intermediário específico no domínio do intermediário pode ser configurado utilizando o workbench. Um ou mais protocolos podem ser especificados para cada intermediário. Utilize o workbench para ativar ou desativar a autenticação em cada nó Real-timeInput que esteja definido para um determinado intermediário. Quando a autenticação é ativada em um nó Real-timeInput, esse nó suporta o conjunto completo de protocolos especificados para seu intermediário correspondente. As opções de configuração são ilustradas nos seguintes diagramas:

Visão Geral da Configuração da Autenticação

Visão geral da configuração da autenticação
Processo de Autenticação de Tempo de Execução de Dois Estágios

Este diagrama mostra o estágio 1 do processo de autenticação de tempo de execução; o protocolo para a sessão é determinado.

Este diagrama mostra o estágio 2 do processo de autenticação de tempo de execução; o aplicativo tem acesso permitido ou negado à sessão.

Autenticação de Senha Simples, como em Telnet

Este protocolo também pode ser descrito como senha às claras, porque a senha é transmitida sem ser criptografada pela rede. O aplicativo cliente se conecta ao nó Real-timeInput utilizando TCP/IP. O nó input solicita que o cliente se identifique. O cliente envia seu "ID do usuário" e sua senha.

Este protocolo simples depende de o cliente e o intermediário conhecerem a senha associada a um ID de usuário. Em particular, o intermediário necessita de acesso a um repositório de informações de usuários e senhas. As informações de ID do usuário e senha são distribuídas pelo Servidor de Nome de Usuário a todos os intermediários em um domínio do produto WebSphere Message Broker.O Servidor de Nome de Usuário extrai as informações de usuário e senha de um arquivo do sistema operacional.

A abordagem do Servidor de Nome de Usuário permite a manutenção centralizada da origem de usuários e senhas, com distribuição automática das informações aos intermediários e atualizações automáticas das informações caso necessário. Também fornece benefícios de disponibilidade, porque as informações de usuários e senhas são mantidas persistentemente em cada intermediário.

Cada aplicativo cliente precisa conhecer seu próprio ID do usuário e manter sua senha secreta. Ao criar uma conexão, um cliente especifica suas credenciais como uma combinação de nome/senha.

Este protocolo fornece segurança relativamente fraca. Ele não calcula uma chave de sessão, e somente deve ser utilizado em ambientes onde não existam "curiosos" e não haja nenhum "intermediário" não confiável.

Quando as informações de usuário e senha são armazenadas em um sistema de arquivo simples no Servidor de Nomes do Usuário, as senhas são armazenadas e distribuídas "às claras".

A carga computacional no cliente e no servidor é muito leve.

Autenticação de Senha Mútua com Desafio-Resposta

Este é um protocolo mais sofisticado e seguro que envolve a geração de uma chave de sessão secreta. O cliente e o servidor calculam essa chave utilizando a senha do cliente. Eles provam um ao outro que conhecem esse segredo através de um protocolo de desafio e resposta.

O cliente deve satisfazer ao desafio do servidor antes que o servidor satisfaça ao desafio do cliente. Isso significa que um atacante personificando um cliente não poderá reunir informações para montar um ataque de adivinhação de senhas "offline". O cliente e o servidor provam um ao outro que eles conhecem a senha, portanto esse protocolo não é vulnerável a ataques de "personificação".

Como no caso do protocolo simples de senha semelhante a telnet, o intermediário deve ter acesso às informações de usuário e senha. As informações sobre o ID do usuário e a senha são distribuídas pelo Servidor de Nomes do Usuário a todos os intermediários no domínio. O Servidor de Nomes do Usuário extrai as informações de usuário e senha de um arquivo do sistema operacional.

Cada aplicativo cliente precisa conhecer seu próprio ID do usuário e manter sua senha secreta. Ao criar uma conexão, um cliente especifica suas credenciais como uma combinação de nome/senha.

As demandas computacionais no cliente e no servidor são relativamente modestas.

Avisos | Marcas Registradas | Downloads | Biblioteca | Suporte | Feedback
Direitos Autorais IBM Corporation 1999, 2006 Última Atualização: 1 Sep 2006
aq01206_