Habilitación de la seguridad basada en temas

Si las aplicaciones utilizan los servicios de publicación/suscripción de un intermediario, puede aplicar un nivel de seguridad adicional para los temas en los que se publican y suscriben los mensajes. Esta seguridad basada en temas la gestiona el Servidor de nombres de usuario.

Lleve a cabo los siguientes pasos:

  1. Antes de crear un Servidor de nombres de usuario, consulte Consideraciones sobre la seguridad en un Servidor de nombres de usuario.
  2. Cree un Servidor de nombres de usuario. Consulte Creación de un Servidor de nombres de usuario.
  3. Seleccione el indicador -j y establezca el parámetro -s en el nombre del gestor de colas para el Servidor de nombres de usuario en el mandato mqsicreatebroker o mqsichangebroker.
  4. Establezca el parámetro -s en el mandato mqsicreateconfigmgr o mqsichangeconfigmgr para el nombre del gestor de colas para el Servidor de nombres de usuario.
  5. Cree las ACL para los temas que requieren seguridad adicional. Para obtener más información, consulte Creación de entradas de ACL.
  6. Asegúrese de que el ID de usuario de servicio del intermediario tiene autorización para:
    1. Obtener mensajes de cada cola de entrada incluida en un flujo de mensajes
    2. Transferir mensajes a todas las colas de salida, respuestas o anomalías incluidas en un flujo de mensajes
  7. Asegúrese de que los ID de usuario bajo los que se ejecutan las aplicaciones de publicación y suscripción tienen autorización suficiente para transferir y obtener de colas de flujos de mensajes:
    1. Autorice a las aplicaciones de publicación a transferir mensajes a la cola de entrada del flujo de mensajes.
    2. Autorice a las aplicaciones que registran suscripciones a transferir a la cola SYSTEM.BROKER.CONTROL.QUEUE.
    3. Autorice a las aplicaciones de suscripción a obtener de la cola en la que se publican los mensajes.
    4. Autorice a las aplicaciones de publicación y suscripción a obtener de la cola de respuestas.

Si emite peticiones publicación/suscripción de un cliente JMS, están disponibles opciones de seguridad adicionales. Consulte Autenticación SSL, Calidad de protección y Servicios de autenticación.

Vaya a Consideraciones sobre la seguridad en un Gestor de configuración.

Consideraciones sobre la seguridad en un Servidor de nombres de usuario

Efectúe esta tarea respondiendo a la siguiente pregunta:
¿Ha habilitado la seguridad basada en temas en el intermediario?
  1. No: vaya a Consideraciones sobre la seguridad en un Gestor de configuración.
  2. Sí: necesita un Servidor de nombres de usuario. Vaya a Cómo decidir qué cuentas de usuarios pueden ejecutar mandatos Servidor de nombres de usuario.

Cómo decidir qué cuentas de usuarios pueden ejecutar mandatos Servidor de nombres de usuario

Durante esta tarea se decide qué permisos son necesarios para los ID de usuarios que:
  • Crean, cambian, listan, suprimen, inician y detienen un Servidor de nombres de usuario
  • Muestran, recuperan y cambian información de rastreo.

Responda a las siguientes preguntas:

  1. ¿Está instalado el Servidor de nombres de usuario en un sistema operativo Linux o UNIX?
    1. No: vaya a la siguiente pregunta.
    2. Sí: La información sobre cómo ejecutar mandatos del Servidor de nombres de usuario en Linux y UNIX aún no está disponible.

      Vaya a Cómo decidir qué cuenta de usuario utilizar para el ID de servicio del Servidor de nombres de usuario.

  2. ¿Ejecuta los mandatos Servidor de nombres de usuario bajo una cuenta local de Windows?
    1. No: vaya a la siguiente pregunta.
    2. Sí: Suponga que la cuenta local está en un sistema denominado, por ejemplo, WKSTN1. Al crear un Servidor de nombres de usuario, asegúrese de que el ID de usuario está definido en el dominio local. Al crear o iniciar un Servidor de nombres de usuario, asegúrese de que el ID de usuario es miembro de WKSTN1\Administradores.

      Vaya a Cómo decidir qué cuenta de usuario utilizar para el ID de servicio del Servidor de nombres de usuario.

  3. ¿Ejecuta los mandatos Servidor de nombres de usuario bajo una cuenta de dominio de Windows?
    1. Sí: Suponga que el sistema denominado WKSTN1, por ejemplo, es miembro de un dominio denominado DOMAIN1. Al crear un Servidor de nombres de usuario utilizando, por ejemplo, DOMAIN1\user1, asegúrese de que DOMAIN1\user1 es miembro de WKSTN1\Administradores.

      Vaya a Cómo decidir qué cuenta de usuario utilizar para el ID de servicio del Servidor de nombres de usuario.

Cómo decidir qué cuenta de usuario utilizar para el ID de servicio del Servidor de nombres de usuario

Cuando establece el ID de servicio con la opción -i en el mandato mqsicreateusernameserver o mqsichangeusernameserver, determine el ID de usuario bajo el que se ejecuta el proceso del componente del Servidor de nombres de usuario.

Responda a las siguientes preguntas:

  1. ¿Está instalado el Servidor de nombres de usuario en un sistema operativo Linux o UNIX?
    1. No: vaya a la siguiente pregunta.
    2. Sí: La información sobre cómo ejecutar el Servidor de nombres de usuario en Linux y UNIX aún no está disponible.

      Vaya a Configuración de la seguridad en las colas del Servidor de nombres de usuario

  2. ¿Desea que el Servidor de nombres de usuario se ejecute bajo una cuenta local de Windows?
    1. No: vaya a la siguiente pregunta.
    2. Sí: asegúrese de que el ID de usuario está definido en el dominio local y que es miembro de mqbrkrs.

      Vaya a Configuración de la seguridad en las colas del Servidor de nombres de usuario

  3. ¿Desea que el Servidor de nombres de usuario se ejecute bajo una cuenta de dominio de Windows?
    1. Sí: Suponga que el sistema denominado WKSTN1, por ejemplo, es miembro de un dominio denominado DOMAIN1. Al ejecutar un Servidor de nombres de usuario utilizando, por ejemplo, DOMAIN1\user1, asegúrese de que: DOMAIN1\user1 es miembro de DOMAIN1\Dominio mqbrkrs y DOMAIN1\Dominio mqbrkrs es miembro de WKSTN1\mqbrkrs.

      Vaya a Configuración de la seguridad en las colas del Servidor de nombres de usuario.

Configuración de la seguridad en las colas del Servidor de nombres de usuario

Al ejecutar el mandato mqsicreateusernameserver, el grupo mqbrkrs obtiene autorización de acceso para las siguientes colas:
  • SYSTEM.BROKER.SECURITY.QUEUE
  • SYSTEM.BROKER.MODEL.QUEUE
Sólo el intermediario y el Gestor de configuración requieren acceder a las colas del Servidor de nombres de usuario.

Ejecución del Servidor de nombres de usuario en un entorno de dominio

Cuando los usuarios que emiten mandatos de publicación y suscripción son usuarios del dominio, establezca la opción -d en el mandato mqsicreateusernameserver en el dominio del que proceden dichos usuarios. Todos los usuarios que emiten mandatos de publicación y suscripción deben proceder del mismo dominio.

Avisos | Marcas registradas | Descargas | Biblioteca | Soporte | Su opinión
Copyright IBM Corporation 1999, 2006 Última actualización: 22/08/2006
ap03983_