Sie können Zugriffssteuerungslisten (ACLs) für die Steuerung des Zugriffs auf Laufzeitressourcen konfigurieren.
Wenn Sie die Laufzeitressourcen erstellt (beispielsweise die Broker und Ausführungsgruppen) und die Transportverbindung gesichert haben, müssen Sie die Zugriffssteuerungslisten (ACLs) konfigurieren, um zu steuern, welche Benutzer-IDs auf welche Objekte zugreifen können. Der Standardzugriff, der gilt, bis die ACLs konfiguriert wurden, ist der volle Zugriff nur für die Service-ID des Konfigurationsmanagers.
So konfigurieren Sie Ihre ACLs:
Das folgende Diagramm stellt eine Beispielhierarchie der ACL-Einträge dar:
Die folgenden Beispiele machen deutlich, wie diese Hierarchie in der Praxis funktioniert.
Beispiel 1
Dem BenutzerA sind keine Zugriffsteuerungseinträge zugeordnet. Deshalb kann BenutzerA keine Objekte in der Hierarchie bearbeiten oder in der Hierarchie definierte Objekte anzeigen.
Beispiel 2
BenutzerB hat einen Zugriffssteuerungslisteneintrag, der ihm eine Implementierungsberechtigung für die Ausführungsgruppe 'Eg1A' verleiht. Dies verleiht BenutzerB implizit eine Anzeigeberechtigung für 'PubSubTopology' und 'Broker1'. BenutzerB muss in der Lage sein, 'PubSubTopology' und 'Broker1' anzuzeigen (z. B. im Message Brokers Toolkit), damit er 'Eg1A' implementieren kann.
Da BenutzerB keine Zugriffssteuerungslisteneinträge für 'PubSubTopology' oder 'Broker1' hat, übernimmt er keinen Zugriff auf die anderen Broker oder Ausführungsgruppen in der Hierarchie. In der Praxis bedeutet dies, dass BenutzerB zwar sehen kann, dass eine andere Ausführungsgruppe für 'Broker1' definiert wurde, er kann jedoch keine Details (einschließlich des Namens der Ausführungsgruppe) anzeigen. Ebenso kann BenutzerB sehen, dass sich ein weiterer Broker in der Topologie befindet, es werden jedoch keine Details angezeigt. BenutzerB hat keinen Zugriff auf 'RootTopic' oder auf 'Subscriptions' (die Subskriptionstabelle).
mqsicreateaclentry testcm -u UserB -a -x D -b Broker1 -e Eg1AMit dem Befehl mqsilistaclentry werden dann die folgenden Informationen angezeigt:
BIP1778I: userb -USER - D - Broker1/Eg1A - ExecutionGroup
Beispiel 3
CMP Anzeigen
RootTopic Anzeigen
Subs Anzeigen
Topology Anzeigen
Broker1 Vollständig
Eg1A Vollständig
Eg1B Vollständig
Broker2 Anzeigen
Eg2A Anzeigen
Eg2B Anzeigen
mqsicreateaclentry testcm -u UserC -a -x V -p mqsicreateaclentry testcm -u UserC -a -x F -b Broker1Mit dem Befehl mqsilistaclentry werden dann die folgenden Informationen angezeigt:
BIP1778I: userc - USER - V - ConfigManagerProxy - ConfigManagerProxy BIP1778I: userc - USER - F - Broker1 - Broker
Beispiel 4
CMP Vollständig
RootTopic Vollständig
Subs Vollständig
Topology Vollständig
Broker1 Anzeigen
Eg1A Anzeigen
Eg1B Anzeigen
Broker2 Vollständig
Eg2A Vollständig
Eg2B Vollständig
mqsicreateaclentry testcm -u UserD -a -x F -p mqsicreateaclentry testcm -u UserD -a -x V -b Broker1Mit dem Befehl mqsilistaclentry werden dann die folgenden Informationen angezeigt:
BIP1778I: userd - USER - F - ConfigManagerProxy - ConfigManagerProxy BIP1778I: userd - USER - V - Broker1 - BrokerMit dem folgenden Befehl können dann die Zugriffssteuerungslisteneinträge für BenutzerD gelöscht werden:
mqsideleteaclentry testcm -u UserD -a -b Broker1