Sicurezza relativa al workbench

In questa attività vengono considerati i fattori che influenzano la scelta degli utenti da abilitare all'esecuzione di azioni all'interno del workbench.

Considerare quanto segue:

  1. Si sta effettuando l'esecuzione con il riconoscimento del dominio abilitato?
  2. Si sta effettuando l'esecuzione con il riconoscimento del dominio disabilitato?
  3. Sicurezza del canale tra il workbench e Gestione configurazione

Assicurarsi che gli ID degli utenti che eseguiranno il workbench non siano lunghi più di otto caratteri.

Si sta effettuando l'esecuzione con il riconoscimento del dominio abilitato?

Si consiglia di effettuare l'esecuzione con il riconoscimento del dominio abilitato. Con questa opzione, le informazioni del dominio relative ad un utente del workbench vengono fornite, per maggior sicurezza, con l'ID utente a Gestione configurazione. Assumere che si stia eseguendo Gestione configurazione su un computer denominato WKSTN1, che è un membro di un dominio denominato DOMAIN1. Gli utenti del DOMAIN2 desiderano utilizzare anche il workbench. Eseguire i passi riportati di seguito:

  1. Aggiungere eventuali utenti o gruppi del dominio ai nomi di gruppi locali che verranno utilizzati negli ACL.

  2. Quando si crea Gestione configurazione utilizzare l'opzione -m nel comando mqsicreateaclentry per essere certi che in fase di verifica dell'utente, venga considerato il dominio.

Quando si avvia il workbench, questo invia automaticamente le informazioni del dominio dell'ID utente in uso a Gestione configurazione. Per accedere alle informazioni del dominio, abilitare il riconoscimento del dominio in Gestione configurazione.

Nota: Se si sta eseguendo Gestione configurazione con un ID utente ed un broker con un diverso ID utente su un altro computer, è possibile che venga visualizzato un messaggio di errore quando si tenta di distribuire flussi di messaggi e serie di messaggi al broker. Per evitare ciò, procedere nel modo riportato di seguito:
  • Assicurarsi che l'ID utente del broker sia un membro dei gruppi mqm e mqbrkrs.
  • Definire l'ID utente del broker sul computer su cui è in esecuzione Gestione configurazione.
  • Definire l'ID utente di Gestione configurazione sul computer su cui è in esecuzione il broker.
  • Assicurarsi che tutti gli ID siano in lettere minuscole in modo da garantirne la compatibilità tra i computer.

Si sta effettuando l'esecuzione con il riconoscimento del dominio disabilitato?

E' possibile disabilitare il riconoscimento del dominio, ma se l'esecuzione avviene con questa opzione, le informazioni del dominio dell'utente del workbench non vengono fornite con quelle dell'ID utente, riducendo quindi la sicurezza. Si consiglia quindi di effettuare l'esecuzione con il riconoscimento del dominio abilitato.

E' possibile utilizzare l'opzione -a nel comando mqsicreateaclentry per consentire la verifica di un utente senza considerare il dominio.

Per impostare l'opzione di riconoscimento del dominio su disabilitata, rispondere alle seguenti domande:

  1. Gli utenti del workbench sono definiti da un dominio locale?
    1. No: Passare alla domanda successiva.
    2. Sì: Aggiungere eventuali utenti ai gruppi locali che verranno utilizzati negli ACL.

      Passare a Sicurezza del canale tra il workbench e Gestione configurazione.

  2. Gli utenti del workbench sono definiti da un altro dominio?
    1. Sì: Rendere sicuro l'altro dominio del computer di Gestione configurazione quindi aggiungere i gruppi e gli utenti del dominio sicuro ai gruppi locali di Gestione configurazione.

Per implementare la sicurezza, effettuare l'esecuzione con le opzioni di riconoscimento del dominio e uscite di sicurezza abilitate. Per ulteriori informazioni sulle uscite di sicurezza, fare riferimento a Uscite di sicurezza.

Disattivazione del riconoscimento del dominio del toolkit

Il toolkit invia il nome di dominio e utente al gestore code di Gestione configurazione, indipendentemente dall'impostazione dell'opzione di riconoscimento del dominio su Gestione configurazione. Ciò può causare problemi nella connessione al gestore code a causa della sicurezza richiesta per la connessione, l'inserimento o l'acquisizione dei messaggi.

Per disattivare l'opzione di riconoscimento del dominio sul toolkit, eseguire il toolkit come riportato di seguito:
  1. Passare alla directory install_dir\eclipse.
  2. Eseguire il toolkit utilizzando il comando mqsistudio -vmargs -DDomainAware=0.
In alternativa, modificare l'accesso rapido che esegue il toolkit ed aggiungerlo su -vmargs -DDomainAware=0.

Passare a Sicurezza del canale tra il workbench e Gestione configurazione

Sicurezza del canale tra il workbench e Gestione configurazione

Creare ed abilitare una coppia di uscite di sicurezza da eseguire al termine della connessione del workbench e di Gestione configurazione. Utilizzare tali uscite per verificare gli utenti del workbench con il gestore sicurezza Windows sul computer di Gestione configurazione.
Per ulteriori informazioni sulla creazione e l'abilitazione delle uscite di sicurezza, fare riferimento a Uscite di sicurezza.
Informazioni particolari | Marchi | Download | Libreria | Supporto | Commenti
Copyright IBM Corporation 1999, 2006 Ultimo aggiornamento: ago 17, 2006
ap03985_