リアルタイム・ノード用に SSL を使用可能にする

JMS クライアントと、Real-timeInput ノードおよび Real-timeOptimizedFlow ノード間のオプション認証サービスを使用します。

デフォルト構成では、SSL 認証サービスは使用不可です。

SSL 認証サービスを使用するよう製品を構成するには、以下のステップを完了します。

ユーザー・ネーム・サーバーの構成

ユーザー・ネーム・サーバーは、これらの認証プロトコルをサポートするのに必要なパスワードをブローカーに配布します。

ユーザー・ネーム・サーバー が認証をサポートするように構成するために、mqsicreateusernameserver または mqsichangeusernameserver コマンドのいずれかに、次の 2 つのパラメーターを指定してください。

  • AuthProtocolDataSource は、認証プロトコルをサポートするのに必要な情報を含むローカル・ファイルの場所を記述します。
  • -j フラグは、AuthProtocolDataSource パラメーターによって指し示されるファイルに、パスワード情報に加えて、グループおよびグループ・メンバーシップ情報が含まれるかどうかを示します。

このオプションを使用不可にするには、mqsichangeusernameserver コマンドで -d フラグを使用します。

ブローカーの構成

WebSphere Message Broker 認証サービスをサポートするよう、ブローカーを構成します。2 つの認証およびアクセス制御のパラメーターを指定し、ワークベンチを使用して適切な Real-timeInput ノード、およびブローカー上でサポートされるプロトコルのセットを構成してください。

以下のステップは、このことを行う方法を示しています。

  1. 「ブローカー・アプリケーション開発」パースペクティブに切り替えます。
  2. メッセージ・フロー・トポロジーのメッセージ・フローごとに、以下を行います。
    1. Real-timeInput または Real-timeOptimizedFlow ノードを選択して「プロパティー」ビューを開きます。あるいは、ノードを右クリックして「プロパティー」をクリックし、「プロパティー」ダイアログを開きます。ノードのプロパティーが表示されます。
    2. 「認証」 を選択します。
  3. ブローカー・トポロジーのブローカーごとに、以下を行います。
    1. 「プロパティー」ビューを開くために、ブローカーを選択します。または、ブローカーを右クリックして「プロパティー」をクリックし、「プロパティー」ダイアログを開きます。ブローカーのプロパティーが表示されます。
    2. 「認証プロトコル・タイプ」に必要な値を入力します。

      オプション P、M、S、および R の任意の組み合わせを選択します。例えば、S、SR、RS、 R、PS、SP、PSR、SRM、MRS および RSMP は、すべて有効なオプションの組み合わせです。

      オプションを指定する順序は重要です。ブローカーは、クライアントがサポートする最初のオプションを選択します。 クライアントがサポートする最強のプロトコルを、ブローカーに常にサポートさせたければ、RSMP を選択します。

    3. 「認証プロトコル・タイプ」のオプションの 1 つとして S または R を選択した場合、「SSL 鍵リング・ファイル名」および「SSL パスワード・ファイル名」を指定してください。
    4. 「OK」をクリックします。
    5. 次の 2 つのパラメーターを指定した、mqsicreatebroker または mqsichangebroker コマンドを使用して、ブローカーを構成します。
      UserNameServerQueueManagerName (-s)
      このパラメーターは、ユーザー・ネーム・サーバーに関連付けられたキュー・マネージャーの名前を定義します。認証サービス、パブリッシュ/サブスクライブ・アクセス制御サービス、またはその両方が必要な場合は、このパラメーターを指定してください。
      パブリッシュ/サブスクライブ・アクセス制御フラグ (-j)
      パブリッシュ/サブスクライブ アクセス制御サービスを使用したい場合、UserNameServerQueueManagerName パラメーターを指定することに加えて、このフラグを設定してください。

      ブローカーでの認証サービスの使用は、これらのコマンドのパラメーターによってではなく、IP 入力ノード・レベルで使用可能とされます。

サンプル・パスワード・ファイル

2 つのサンプル・ファイル password.dat および pwgroup.dat が、WebSphere Message Broker と共に提供されています。

  • pwgroup.dat は、-j フラグを設定するときに使用できるサンプル・ファイルです。
  • password.dat は、デフォルトのケースで使用できるサンプル・ファイルです。
password.dat ファイルのレイアウトは次のとおりです。
# This is a password file.

# Each line contains two required tokens delimited by
# commas. The first is a user ID, the second is that user's
# password.

#USERNAME PASSWORD
========================
subscriber,subpw
admin,adminpw
publisher,pubpw

このファイルは、オペレーティング・システムからユーザー・ネーム・サーバーにより取り出されるユーザーおよびグループ情報を補足します。 ファイル中では定義されているものの、オペレーティング・システム中では定義されていないユーザー名は、ブローカー・ドメインが認識しないものとして処理されます。 オペレーティング・システムでは定義されるが、 パスワード・ファイルでは定義されないユーザー名は、 システムへのアクセスを拒否されます。

pwgroup.dat ファイルには、ユーザーおよびパスワード情報に加え、グループ情報が入っています。 各ユーザー項目には、ユーザーを含むグループを指定する、グループ名のリストが含まれます。

pwgroup.dat ファイルのレイアウトは次のとおりです。
#This is a password file.
#Each line contains two or more required tokens delimited by
#commas.The first is a user ID and the second is that user's
#password. All subsequent tokens
#specify the set of groups that the user belongs to.

#USERNAME PASSWORD  GROUPS 
subscriber,subpw,group1,group2,group3 
admin,adminpw,group2 
publisher,pubpw,group2,group4 
上述のとおり、このファイルは、ブローカー・ドメインにユーザー、グループ、 およびパスワード情報のソースのみを提供するために使用できます。

この情報がオペレーティング・システム・ファイルから引き出される場合にブローカー・ネットワークに対して更新済みのユーザーおよびパスワード情報をデプロイするには、ユーザー・ネーム・サーバーおよびブローカーを停止し、ファイルを更新してから、ユーザー・ネーム・サーバーおよびブローカーを再始動します。

パスワードがオペレーティング・システムから引き出される場合、更新は自動的にブローカーに 配布されます。ユーザーまたはパスワードを変更するには、 通常のオペレーティング・システム管理ツールを使用してください。

JMS クライアントでの認証

CSD4 より前の Java™ Message Service Version 5.3 用の WebSphere MQ クラスを使用するクライアント・アプリケーションの場合、 クライアント・アプリケーションは必ず、PM の認証プロトコル・レベルを持ちます。 クライアント・アプリケーションおよびブローカーは、セッション用のプロトコルの選択に基づいて交渉します。 ブローカーが両方のプロトコルをサポートする (つまり、ブローカーのワークベンチ定義で PM または MP を設定した) 場合、 ワークベンチで最初に指定されているプロトコルが選択されます。

CSD10 (APAR IC47044) または CSD11 以降の Java Message Service Version 5.3 用の WebSphere MQ クラス、または Java Message Service Version 6.0 以降用の WebSphere MQ クラスを使用するクライアント・アプリケーションの場合、このクライアント・アプリケーションでは、2 つのレベルの認証をサポートします。

TopicConnectionFactory を構成して、 MQJMS_DIRECTAUTH_BASIC 認証モードか MQJMS_DIRECTAUTH_CERTIFICATE 認証モードのいずれかをサポートするようにできます。 MQJMS_DIRECTAUTH_BASIC 認証モードは PM のレベルに相当し、MQJMS_DIRECTAUTH_CERTIFICATE 認証モードは SR のレベルに相当します。

Real-timeInput ノードに対する認証サービスを正常に構成できた場合、JMS クライアント・アプリケーションは接続の作成時にその証明書を指定することが必要です。 この構成に対する接続を作成するために、JMS クライアント・アプリケーションは、 TopicConnectionFactory.createTopicConnection メソッドに、ユーザー ID とパスワードの組み合わせを提供します。例えば、次のようにします。
factory.createTopicConnection("user1", "user1pw");

アプリケーションが信任状を指定しなかったり誤って指定したりすると、 アプリケーションは MQJMS エラー・テキストを含む JMS ラップ例外を受け取ります。

特記事項 | 商標 | ダウンロード | ライブラリー | サポート | フィードバック

Copyright IBM Corporation 1999, 2009Copyright IBM Corporation 1999, 2009.
最終更新 : 2009-02-20 12:44:23

ap12233_