Início da mudança

Configurando a Segurança para Componentes de Domínio

Configure as listas de controle de acesso (ACLs) para controlar o acesso aos recursos de tempo de execução.

Quando você tiver criado os recursos de tempo de execução (por exemplo, os intermediários e grupos de execução) e protegido a conexão de transporte, precisará configurar as listas de controle de acesso (ACLs) para controlar quais objetos podem ser acessados por quais IDs do usuário. O acesso padrão, que você possui até ter configurado as ACLs, é o acesso de controle Integral apenas para o ID de serviço do Configuration Manager.

Para configurar suas ACLs:

  1. Decida quais objetos você deseja controlar, consultando a hierarquia de ACLs que podem ser definidas.
  2. Utilize o comando mqsicreateaclentry para definir permissões para cada objeto que requer acesso não-padrão.
  3. Opcional: Se você for um usuário de publicação/assinatura, poderá definir outras ACLs para acesso no nível do aplicativo para publicar e assinar nos tópicos especificados. Elas também podem ser controladas utilizando o comando mqsicreateaclentry, mas não são necessárias para administração.
Quando as ACLs tiverem sido configuradas, os usuários do ambiente de trabalho e comandos estarão aptos para trabalhar com objetos no domínio. O controle que os usuários possuem sobre os objetos (Controle Integral, Visualizar, Implementar ou Editar) depende do acesso que você concedeu a eles nas entradas da lista de controle de acesso.

O diagrama a seguir mostra uma hierarquia de exemplo de entradas da lista de controle de acesso:

Este diagrama mostra uma hierarquia de exemplo. A raiz é CMP, que possui três filhos: RootTopic, Subscriptions e PubSubTopology. PubSubTopology possui dois filhos: Broker1 e Broker2. Cada intermediário possui dois filhos: Eg1A e Eg1B.

Os exemplos a seguir mostram como esta hierarquia funciona na prática.

Exemplo 1

UserA não possui entradas de controle de acesso. Portanto, UserA não pode manipular nenhum objeto na hierarquia ou ver qualquer um dos objetos definidos nela.

Exemplo 2

O UserB tem uma entrada da ACL que fornece autoridade de Implementação para o grupo de execução Eg1A. Esta entrada fornece a UserB autoridade Visualizar incluída em PubSubTopology e Broker1. O UserB deve ser capaz de visualizar PubSubTopology e Broker1 (por exemplo, no Message Brokers Toolkit) para poder implementar no Eg1A.

Como o UserB não possui nenhuma entrada da ACL para PubSubTopology ou Broker1,o UserB não herda acesso para os outros grupos de execução ou intermediários da hierarquia. Na prática, isto significa que UserB pode ver se há outro grupo de execução definido no intermediário Broker1 mas não pode ver nenhum detalhe (incluindo o nome do grupo de execução). De forma semelhante, UserB pode ver que existe outro intermediário na topologia, mas não pode ver nenhum dos detalhes. O UserB não tem nenhum acesso a RootTopic ou Subscriptions (a tabeka de assinaturas).

O comando a seguir cria a entrada da ACL para o UserB:
mqsicreateaclentry testcm -u UserB -a -x D -b Broker1 -e Eg1A
O comando mqsilistaclentry, em seguida, exibe as seguintes informações:
BIP1778I: userb -USER  -  D  -  Broker1/Eg1A      -  ExecutionGroup

Exemplo 3

O UserC tem uma entrada da ACL que concede autoridade de Visualização para o CMP (Configuration Manager Proxy) e uma entrada da ACL que concede autoridade Total para o Broker1. Estas entradas fornecem ao UserC as seguintes autoridades:

CMP Visualização
RootTopic Visualização
Subs Visualização
Topology Visualização
Broker1 Total
Eg1A Total
Eg1B Total
Broker2 Visualização
Eg2A Visualização
Eg2B Visualização

Os comandos a seguir criam as entradas da ACL para o UserC:
mqsicreateaclentry testcm -u UserC -a -x V -p
mqsicreateaclentry testcm -u UserC -a -x F -b Broker1
O comando mqsilistaclentry, em seguida, exibe as seguintes informações:
BIP1778I: userc                -  USER  -  V  -  ConfigManagerProxy  -  ConfigManagerProxy
BIP1778I: userc                -  USER  -  F  -  Broker1              -  Broker

Exemplo 4

UserD possui uma entrada de ACL que fornece autoridade de controle Integral para o CMP e uma entrada de ACL que fornece a autoridade Visualizar para Broker1. A autoridade Visualizar para acessar Broker1 significa que o UserD não herda a autoridade de controle Integral para Broker1. Essa utilização de entradas da ACL de Visualização é útil, pois permite que os usuários, que geralmente têm controle total de um determinado objeto, reduzam seus acessos temporariamente para evitar exclusão ou implementação acidental. Se os usuários precisarem de controle integral do objeto, a remoção da entrada Visualizar restaurará a autoridade de controle Integral para que eles possam desempenhar as operações de que precisam e, em seguida, restaurará a entrada Visualizar. O UserD possui as seguintes autoridades:

CMP Total
RootTopic Total
Subs Total
Topology Total
Broker1 Visualização
Eg1A Visualização
Eg1B Visualização
Broker2 Total
Eg2A Total
Eg2B Total

Os comandos a seguir criam as entradas da ACL para o UserD:
mqsicreateaclentry testcm -u UserD -a -x F -p
mqsicreateaclentry testcm -u UserD -a -x V -b Broker1
O comando mqsilistaclentry, em seguida, exibe as seguintes informações:
BIP1778I: userd                -  USER  -  F  -  ConfigManagerProxy  -  ConfigManagerProxy
BIP1778I: userd                -  USER  -  V  -  Broker1              -  Broker
O comando a seguir pode então excluir as entradas da ACL para o UserD:
mqsideleteaclentry testcm -u UserD -a -b Broker1
Conceitos relacionados
Visão Geral de Segurança
Segurança para Recursos de Tempo de Execução: Listas de Controle de Acesso
Tarefas relacionadas
Configurando a Segurança no Domínio do Intermediário
Ativando a Segurança Baseada em Tópicos
Referências relacionadas
Requisitos de Segurança para Tarefas Administrativas
Comando mqsicreateaclentry
Comando mqsideleteaclentry
Comando mqsilistaclentry
Permissões de ACL
Avisos | Marcas Registradas | Downloads | Biblioteca | Suporte | Feedback

Copyright IBM Corporation 1999, 2009Copyright IBM Corporation 1999, 2009.
Última atualização : 2009-02-13 16:12:58

ap03987_

Fim da mudança