ストリーム権限

WebSphere® MQ パブリッシュ/サブスクライブでパブリッシュおよびサブスクライブの権限検査と共に使用する、 ストリーム・キューの概念について学びます。

WebSphere MQ パブリッシュ/サブスクライブでは、パブリッシュおよびサブスクライブの権限検査すべてはストリーム・キューに対して行われます。

同様の検査は WebSphere Message Broker ブローカーによっても行われますが、その場合にはサブスクライブ、ブラウズ、 権限が検査されません。 その代わりに WebSphere Message Brokerワークベンチを使用して作成できるアクセス制御リスト (ACL) を使用して、個々のトピックに必要な権限を与えます。

WebSphere MQ パブリッシュ/サブスクライブ・ブローカーを WebSphere Message Broker にマイグレーションする前、 または WebSphere MQ パブリッシュ/サブスクライブ・アプリケーションが WebSphere Message Broker で稼働するようにマイグレーションする前に、以下のセキュリティー上の注意事項を検討してください。
下の図は、必要なストリーム権限を示しています。 この例では、プリンシパル PublicGroup のトピック・ルートにあるデフォルトの ACL を、パブリッシュ、 サブスクライブ、および永続配信の権限すべてを deny に設定して更新していると想定します。
ストリーム権限。この図については、前後のテキストで説明されています。
この例を使用して、以下のグループが定義されていると想定します。
ACL を以下のとおりに設定して、権限を認可または拒否しなければなりません。
  1. PDefault にはルートに対するパブリッシュ権限を付与する必要があり、 SDefault にはルートに対するサブスクライブ権限を付与する必要があります。
  2. PDefault には $SYS/STREAM/ に対するパブリッシュ権限を拒否する必要があり、 SDefault には $SYS/STREAM/ に対するサブスクライブ権限を拒否する必要があります。

    これらの設定値は、デフォルト・ストリーム上のパブリッシャーおよびサブスクライバーが 関連する設定値をオーバーライドする明示的な ACL のない他のストリームにパブリッシュまたは サブスクライブできないようにします。

  3. PStreamX には $SYS/STREAM/StreamX/ に対するパブリッシュ権限が必要であり、 SStreamX には $SYS/STREAM/StreamX/ に対するサブスクライブ権限を付与する必要があります。

    これらの設定値は親トピックでのあらゆる設定をオーバーライドして、 パブリッシュおよびサブスクライブの活動をこれらの特定のグループ内にあるユーザーに制限します。

  4. PStreamY には $SYS/STREAM/StreamY/ に対するパブリッシュ権限が必要であり、 SStreamY には $SYS/STREAM/StreamY/ に対するサブスクライブ権限を付与する必要があります。

    これらの設定値は親トピックでのあらゆる設定をオーバーライドして、 パブリッシュおよびサブスクライブの活動をこれらの特定のグループ内にあるユーザーに制限します。

この状態に対して例外をセットアップしたい場合、 適切なポイントで ACL を紹介してそれを行うことができます。 例えば、パブリッシャーに StreamX にパブリッシュするための デフォルト・ストリーム PDefault に対する権限を認可したい場合、 明示的な ACL をポイント (3) で作成する必要があります。 この設定は例示 (2) での権限の否認をオーバーライドします。 このシナリオでは、ユーザー PDefault はまだ StreamY に対してパブリッシュすることができません。

関連概念
ランタイム・リソースのセキュリティー: アクセス制御リスト
関連タスク
サブスクライブ
関連資料
MQRFH2 ヘッダー
特記事項 | 商標 | ダウンロード | ライブラリー | サポート | フィードバック

Copyright IBM Corporation 1999, 2009Copyright IBM Corporation 1999, 2009.
最終更新 : 2009-02-20 12:44:26

aq18560_