変更の始まり

ドメイン・コンポーネントのセキュリティーの構成

アクセス制御リスト (ACL) を構成して、ランタイム・リソースへのアクセスを制御します。

ランタイム・リソース (例えば、ブローカーや実行グループ) を作成してトランスポート接続を保護したとき、 アクセス制御リスト (ACL) を構成して、どのオブジェクトにどのユーザー ID がアクセス可能かを制御する必要があります。 ACL を構成するまで有効なデフォルトのアクセスは、構成マネージャーのサービス ID のみに対するフル・コントロール・アクセスです。

ACL を構成するには、次のようにします。

  1. 定義可能な ACL の階層を参照して、制御するオブジェクトを決めます。
  2. mqsicreateaclentry コマンドを使用して、 デフォルト以外のアクセスを必要とするオブジェクトごとに許可を定義します。
  3. オプション: パブリッシュ/サブスクライブ・ユーザーの場合、アプリケーション・レベルのアクセス用に他の ACL を定義して、指定のトピックに関してパブリッシュおよびサブスクライブすることができます。 これらは mqsicreateaclentry コマンドを使用して制御することもできますが、 管理のためには必要ありません。
ACL が構成されると、ワークベンチおよびコマンドのユーザーはドメイン内でこのオブジェクトを扱うことができるようになります。 ユーザーがオブジェクトに対して持つ制御 (フル・コントロール、表示、デプロイ、または編集) は、 アクセス制御リスト項目でユーザーに付与したアクセス権限に依存します。

次に示す図は、 アクセス制御リスト項目の階層の例です。

この図は階層例を示します。ルートは CMP で、これには RootTopic、Subscriptions、および PubSubTopology という 3 つの子があります。PubSubTopology には 2 つの子、Broker1 および Broker2 があります。それぞれのブローカーには 2 つの子、Eg1A および Eg1B があります。

以下の例では、 この階層が実際にどのように働くかを示します。

例 1

UserA にはアクセス制御項目がありません。したがって、UserA は階層内のオブジェクトを操作することも、 そこで定義されたオブジェクトのいずれかを参照することもできません。

例 2

UserB には、実行グループ Eg1A に対する「デプロイ」権限を与える ACL 項目があります。この項目によって UserB には、 PubSubTopology と Broker1 に対する暗黙の「表示」権限が与えられます。 UserB は、Eg1A にデプロイできるためには、PubSubTopology と Broker1 を (例えば Message Brokers Toolkit で) 表示できなければなりません。

UserB には PubSubTopology または Broker1 の ACL 項目がないので、UserB は階層内の他のブローカーや実行グループへのアクセス権を継承しません。 実際問題としてこれは、UserB はブローカー Broker1 で別の実行グループが定義されていることは分かっても、 詳細 (実行グループの名前を含む) は何も表示できないということを意味しています。 同様に、UserB はトポロジー内に別のブローカーが存在することは分かっても、詳細は何も表示できません。UserB には、RootTopic または Subscriptions (サブスクリプション表) へのアクセス権がありません。

次のコマンドによって、UserB の ACL 項目が作成されます。
mqsicreateaclentry testcm -u UserB -a -x D -b Broker1 -e Eg1A
この後に mqsilistaclentry コマンドを発行すると、次の情報が表示されます。
BIP1778I: userb -USER  -  D  -  Broker1/Eg1A      -  ExecutionGroup

例 3

UserC には、構成マネージャー・プロキシー (CMP) に対する「表示」権限を与える ACL 項目と、Broker1 に対する「フル」権限を与える ACL 項目があります。これらの項目によって UserC には、以下の権限が与えられます。

CMP 表示
RootTopic 表示
Subs 表示
Topology 表示
Broker1 フル
Eg1A フル
Eg1B フル
Broker2 表示
Eg2A 表示
Eg2B 表示

次のコマンドによって、UserC の ACL 項目が作成されます。
mqsicreateaclentry testcm -u UserC -a -x V -p
mqsicreateaclentry testcm -u UserC -a -x F -b Broker1
この後に mqsilistaclentry コマンドを発行すると、次の情報が表示されます。
BIP1778I: userc - USER - V - ConfigManagerProxy - ConfigManagerProxy
BIP1778I: userc - USER - F - Broker1 - Broker

例 4

UserD には、CMP に対する「フル・コントロール」権限を与える ACL 項目と、Broker1 に対する「表示」権限を与える ACL 項目があります。Broker1 にアクセスする「表示」権限は、UserD が Broker1 に対する「フル・コントロール」権限を継承しないということを意味します。「表示」ACL 項目のこのような使用法は有用です。これにより、通常は特定のオブジェクトに対してフル・コントロールを持っているユーザーから、一時的にアクセス権を削減し、偶発的な削除またはデプロイを防ぐことができるからです。 ユーザーがオブジェクトのフル・コントロールを必要とする場合には、「表示」項目を除去すると「フル・コントロール」権限が復元するので、必要とする操作を実行できます。その後で「表示」項目を復元できます。UserD には、以下の権限があります。

CMP フル
RootTopic フル
Subs フル
Topology フル
Broker1 表示
Eg1A 表示
Eg1B 表示
Broker2 フル
Eg2A フル
Eg2B フル

次のコマンドによって、UserD の ACL 項目が作成されます。
mqsicreateaclentry testcm -u UserD -a -x F -p
mqsicreateaclentry testcm -u UserD -a -x V -b Broker1
この後に mqsilistaclentry コマンドを発行すると、次の情報が表示されます。
BIP1778I: userd - USER - F - ConfigManagerProxy - ConfigManagerProxy
BIP1778I: userd - USER - V - Broker1 - Broker
その後、次のコマンドを発行することによって、UserD の ACL 項目を削除できます。
mqsideleteaclentry testcm -u UserD -a -b Broker1
関連概念
セキュリティーの概要
ランタイム・リソースのセキュリティー: アクセス制御リスト
関連タスク
ブローカー・ドメインのセキュリティーのセットアップ
トピック・ベースのセキュリティーの使用可能化
関連資料
管理用タスクでのセキュリティーの要件
mqsicreateaclentry コマンド
mqsideleteaclentry コマンド
mqsilistaclentry コマンド
ACL 許可
特記事項 | 商標 | ダウンロード | ライブラリー | サポート | フィードバック

Copyright IBM Corporation 1999, 2009Copyright IBM Corporation 1999, 2009.
最終更新 : 2009-02-20 12:44:22

ap03987_

変更の終わり