Sicherheitsüberlegungen für die Workbench

Sie können für die Workbench die jeweils geeigneten Sicherheitsstufen konfigurieren.

Berücksichtigen Sie bei der Überlegung, welche Benutzer Aktionen in der Workbench ausführen können, folgende Faktoren:

  1. Ist die Domänenfähigkeit während des Betriebs aktiviert?
  2. Ist die Domänenfähigkeit während des Betriebs inaktiviert?
  3. Sicherheit für den Kanal zwischen Workbench und Konfigurationsmanager einrichten

Bei der höchsten Sicherheitsstufe erfolgt die Ausführung mit aktivierter Domänenfähigkeit, und die Sicherheit ist für die Verbindung zwischen dem Konfigurationsmanager und der Workbench konfiguriert.

Stellen Sie sicher, dass die IDs der Benutzer, die die Workbench ausführen, höchstens acht Zeichen enthalten.

Ist die Domänenfähigkeit während des Betriebs aktiviert?

Die Ausführung erfolgt mit aktivierter Domänenfähigkeit, damit die Domäneninformationen mit der Benutzer-ID für einen Benutzer der Workbench mit erhöhter Sicherheit an den Konfigurationsmanager fließen. Angenommen, Sie führen den Konfigurationsmanager auf einem PC mit der Bezeichnung WKSTN1 aus, der zur Domäne DOMAIN1 gehört. Benutzer aus DOMAIN2 möchten ebenfalls die Workbench verwenden. Führen Sie folgende Schritte aus:

  1. Fügen Sie alle Benutzer oder Gruppen den lokalen Gruppennamen hinzu, die in den ACLs verwendet werden.
  2. Wenn Sie den Konfigurationsmanager erstellen, müssen Sie im Befehl mqsicreateaclentry die Option -m setzen, um sicherzustellen, dass bei der Überprüfung des Benutzers die Domäne berücksichtigt wird.

Wenn Sie die Workbench starten, werden die Domäneninformationen für Ihre Benutzer-ID automatisch an den Konfigurationsmanager gesendet. Aktivieren Sie im Konfigurationsmanager die Domänenfähigkeit, um Zugriff auf die Domäneninformationen zu erhalten.

Wenn Sie einen Konfigurationsmanager und einen Broker auf verschiedenen PCs unter jeweils eigenen Benutzer-IDs ausführen, erhalten Sie beim Einsetzen von Nachrichtenflüssen und Nachrichtengruppen für den Broker unter Umständen eine Fehlernachricht. So vermeiden Sie diesen Fehler:
  • Stellen Sie sicher, dass die Benutzer-ID des Brokers ein Mitglied der Gruppen mqm und mqbrkrs ist.
  • Definieren Sie die Benutzer-ID des Brokers auf dem PC, auf dem der Konfigurationsmanager aktiv ist.
  • Definieren Sie die Benutzer-ID des Konfigurationsmanagers auf dem Computer, auf dem der Broker aktiv ist.
  • Stellen Sie sicher, dass alle Benutzer-IDs in Kleinschreibung sind, damit sie auf beiden Systemen kompatibel sind.

Ist die Domänenfähigkeit während des Betriebs inaktiviert?

Wenn Sie sich für die Inaktivierung der Domänenfähigkeit entscheiden, fließen die Domäneninformationen für den Benutzer der Workbench nicht mit den Benutzer-ID-Daten an den Konfigurationsmanager, und die Sicherheit ist daher nicht so hoch.

Sie können im Befehl mqsicreateaclentry die Option -a angeben, um damit eine Benutzerüberprüfung ohne Berücksichtigung der Domäne zu ermöglichen.

Um die Domänenfähigkeit zu inaktivieren, sollten Sie Folgendes entscheiden:

  1. Stammen die Workbench-Benutzer aus einer lokalen Domäne?
    1. Nein: Weiter mit der nächsten Frage.
    2. Ja: Fügen Sie alle Benutzer den lokalen Gruppen hinzu, die in den ACLs verwendet werden.

      Weiter mit Abschnitt Sicherheit für den Kanal zwischen Workbench und Konfigurationsmanager einrichten.

  2. Stammen die Workbench-Benutzer aus einer anderen Domäne?
    1. Ja: Definieren Sie die andere Domäne als eine vertrauenswürdige Domäne des Konfigurationsmanager-PCs, und fügen Sie anschließend die Gruppen und Benutzer dieser vertrauenswürdigen Domäne den lokalen Gruppen des Konfigurationsmanagers hinzu.

Domänenfähigkeit der Workbench inaktivieren

Die Workbench sendet den Benutzer- und den Domänennamen an den Warteschlangenmanager des Konfigurationsmanagers; dabei spielt es keine Rolle, ob die Domänenfähigkeit des Konfigurationsmanagers aktiviert ist. Aufgrund der Sicherheitsmechanismen für die Herstellung von Verbindungen und für das Abrufen oder Einreihen von Nachrichten kann dies beim Herstellen einer Verbindung zum Warteschlangenmanager zu Problemen führen.

Um die Domänenfähigkeit für die Workbench zu inaktivieren, müssen Sie Ihre Sitzung wie folgt starten:
  1. Wechseln Sie in das Verzeichnis Installationsverzeichnis\eclipse.
  2. Führen Sie das Toolkit aus, indem Sie den Befehl mqsistudio -vmargs -DDomainAware=0 eingeben.
Ebenso können Sie auch den Direktaufruf ändern, mit dem die Workbench gestartet werden kann, indem Sie die Parameter -vmargs -DDomainAware=0 hinzufügen.

Weiter mit Abschnitt Sicherheit für den Kanal zwischen Workbench und Konfigurationsmanager einrichten.

Sicherheit für den Kanal zwischen Workbench und Konfigurationsmanager einrichten

Beginn der ÄnderungWenn Sie die Verbindung schützen möchten, müssen Sie die Konfiguration des SVRCONN-Kanals zwischen dem Konfigurationsmanager und der Workbench aktualisieren, um die gewünschten Sicherheitsoptionen aufzunehmen.

Wenn Sie den Konfigurationsmanager erstellen, wird ein SVRCONN-Standardkanal (SYSTEM.BKR.CONFIG) erstellt; Sie können diesen Kanal nutzen oder einen neuen Kanal erstellen. Wenn Sie einen anderen Kanal verwenden möchten, müssen Sie den neuen Namen in den Eigenschaften der Domänenverbindung festlegen.

Ende der Änderung
Erstellen und aktivieren Sie je einen Sicherheitsexit für die Workbench und den Konfigurationsmanager des SVRCONN-Kanals, der die beiden Komponenten verbindet. Programmieren Sie diese Exits für die Prüfung der Workbench-Benutzer über den Sicherheitsmanager auf dem Computer, auf dem der Konfigurationsmanager ausgeführt wird.

Weitere Informationen zum Erstellen und Aktivieren von Sicherheitsexits finden Sie unter Sicherheitsexits.

Zugehörige Tasks
Sicherheitsexits verwenden
Bemerkungen | Marken | Downloads | Bibliothek | Unterstützung | Feedback

Copyright IBM Corporation 1999, 2009Copyright IBM Corporation 1999, 2009.
Letzte Aktualisierung : 2009-02-17 15:29:45

ap03985_