Ativando a Segurança Baseada em Tópicos

Se seus aplicativos utilizarem os serviçospublish/subscribe de um intermediário, você pode aplicar um nível adicional de segurança aos tópicos nos quais mensagens são publicadas e assinadas. Esta segurança baseada em tópicos é gerenciada peloUser Name Server.

Execute as etapas a seguir:

  1. Antes de criar um User Name Server, consulte Considerando a segurança para um User Name Server.
  2. Crie um User Name Server. Consulte Criando um User Name Server.
  3. Selecione o sinalizador -j e defina o parâmetro -s para o nome do gerenciador de filas para o User Name Server no comando mqsicreatebroker ou mqsichangebroker.
  4. Defina o parâmetro -s no comando mqsicreateconfigmgr ou mqsichangeconfigmgr para o nome do gerenciador de filas para o User Name Server.
  5. Crie ACLs para os tópicos que exijam segurança adicional. Para obter informações adicionais, consulte Criando Entradas de ACL.
  6. Certifique-se de que o ID do usuário de serviço do servidor intermediário tenha autoridade para:
    1. Obter mensagens de cada fila de entrada incluída em um fluxo de mensagens
    2. Colocar mensagens em qualquer fila de saída, resposta e falha incluída em um fluxo de mensagens.
  7. Certifique-se de que os IDs dos usuários sob os quais os aplicativos de publicação e assinatura são executados tenham autoridade suficiente para colocar em, e obter de, filas de fluxo de mensagens:
    1. Autorize os aplicativos de publicação a colocarem mensagens na fila de entrada do fluxo de mensagens.
    2. Autorize os aplicativos que registram assinaturas a colocar na fila SYSTEM.BROKER.CONTROL.QUEUE.
    3. Autorize os aplicativos de assinatura a obter a partir da fila na qual as mensagens são publicadas.
    4. Autorize aplicativos de publicação e assinatura a obter a partir da fila de resposta.

Se estiver emitindo pedidos do publish/subscribe a partir de um cliente JMS, opções de segurança adicionais estarão disponíveis. Consulte Autenticação SSL, Qualidade de Proteção e Serviços de Autenticação.

Vá para Considerando a segurança para um Configuration Manager.

Considerando a segurança para um User Name Server

Execute esta tarefa respondendo às seguinte questão:
Você ativou a segurança baseada em tópico em seu servidor intermediário?
  1. Não: Vá para Considerando a segurança para um Configuration Manager.
  2. Sim: Você irá precisar de User Name Server. Vá para Decidindo quais contas de usuário podem executar comandos do User Name Server.

Decidindo quais contas de usuário podem executar comandos do User Name Server

Durante esta tarefa você decide quais permissões são requeridas para que os IDs dos usuários:
  • Criar, alterar, listar, excluir, iniciar e interromper um User Name Server
  • Exibir, recuperar e alterar informações de rastreio.

Responda as seguintes perguntas:

  1. O seu User Name Server está instalado em um sistema operacional Linux ou UNIX?
    1. Não: Vá para a próxima pergunta.
    2. Sim: As informações sobre a execução de comandos do User Name Server no Linux e UNIX ainda não estão disponíveis.

      Vá para Decidindo qual conta de usuário utilizar para o ID de serviço do User Name Server.

  2. Você está executando comandos doUser Name Server sob uma conta local do Windows?
    1. Não: Vá para a próxima pergunta.
    2. Sim: Suponha que sua conta local esteja em um computador chamado, por exemplo, WKSTN1. Quando criar umUser Name Server, assegure-se de que seu ID de usuário está definido em seu domínio local.Quando criar ou iniciar um User Name Server, assegure-se de que seu ID de usuário seja um membro de WKSTN1\Administrators.

      Vá para Decidindo qual conta de usuário utilizar para o ID de serviço do User Name Server.

  3. Você está executando comandos doUser Name Server sob uma conta de domínio doWindows?
    1. Sim: Suponha que seu computador chamado, por exemplo, WKSTN1, é um membro de um domínio chamado DOMAIN1. Quando criar um User Name Server utilizando, por exemplo, DOMAIN1\user1, assegure-se de que DOMAIN1\user1 seja um membro de WKSTN1\Administrators.

      Vá para Decidindo qual conta de usuário utilizar para o ID de serviço do User Name Server.

Decidindo qual conta de usuário utilizar para o ID de serviço do User Name Server

Quando você define o ID de serviço com a opção -i no comando mqsicreateusernameserver ou mqsichangeusernameserver, você determina o ID do usuário sob o qual o processo do componente User Name Server é executado.

Responda as seguintes perguntas:

  1. O seu User Name Server está instalado em um sistema operacional Linux ou UNIX?
    1. Não: Vá para a próxima pergunta.
    2. Sim: As informações sobre a execução de seu User Name Server no Linux e UNIX ainda não estão disponíveis.

      Vá para Definindo a segurança nas filas do User Name Server

  2. Deseja que seu User Name Server seja executado sob uma conta local do Windows?
    1. Não: Vá para a próxima pergunta.
    2. Sim: Assegure-se de que seu ID de usuário seja definido em seu domínio local e que seja um membro de mqbrkrs.

      Vá para Definindo a segurança nas filas do User Name Server

  3. Deseja que seu User Name Server seja executado sobre uma conta de domínio do Windows?
    1. Sim: Suponha que seu computador chamado, por exemplo, WKSTN1, é um membro de um domínio chamado DOMAIN1. Quando você executa um User Name Server utilizando, por exemplo, DOMAIN1\user1, assegure-se de que: DOMAIN1\user1 é um membro de DOMAIN1\Domain mqbrkrs e se DOMAIN1\Domain mqbrkrs é um membro de WKSTN1\mqbrkrs.

      Vá para Definindo a segurança nas filas do User Name Server.

Definindo a segurança nas filas do User Name Server

Quando você executa o comando mqsicreateusernameserver, o grupo mqbrkrs obtém autoridade de acesso às seguintes filas:
  • SYSTEM.BROKER.SECURITY.QUEUE
  • SYSTEM.BROKER.MODEL.QUEUE
Apenas o intermediário e o Configuration Manager requerem acesso às filas do User Name Server.

Executando o User Name Server em um ambiente de domínio

Quando os usuários que emitem comandos de publicação e de assinatura são usuários de domínio, defina a opção -d no comando mqsicreateusernameserver como o domínio do qual esses usuários vêm. Todos os usuários que emitem comandos de publicação e assinatura devem originar-se no mesmo domínio.

Notices | Trademarks | Downloads | Library | Support | Feedback
Copyright IBM Corporation 1999, 2006 Last updated: 5월 25, 2006
ap03983_