Habilitación de la seguridad basada en temas

Inicio del cambioSi las aplicaciones utilizan los servicios de publicación/suscripción de un intermediario, puede aplicar un nivel de seguridad adicional para los temas en los que se publican y suscriben los mensajes. Esta seguridad basada en temas la gestiona el Servidor de nombres de usuario.Fin del cambio

Inicio del cambio

Antes de empezar:

Antes de crear un Servidor de nombres de usuario, consulte Consideraciones sobre la seguridad en un Servidor de nombres de usuario.

Fin del cambio

Para habilitar la seguridad basada en temas, realice los pasos siguientes:

  1. Cree un Servidor de nombres de usuario. Si desea ver más información, consulte Creación de un Servidor de nombres de usuario.
  2. En el mandato mqsicreatebroker (o el mandato mqsichangebroker si está utilizando un intermediario existente), seleccione el indicador -j y establezca el parámetro -s en el nombre del gestor de colas del Servidor de nombres de usuario.
  3. Establezca el parámetro -s en el mandato mqsicreateconfigmgr o mqsichangeconfigmgr en el nombre del gestor de colas para el Servidor de nombres de usuario.
  4. Cree las ACL para los temas que requieren seguridad adicional. Para obtener más información, consulte Creación de entradas de ACL.
  5. Asegúrese de que el ID de usuario de servicio del intermediario tiene autorización para realizar las acciones siguientes:
    1. Obtener mensajes de cada cola de entrada incluida en un flujo de mensajes
    2. Transferir mensajes a todas las colas de salida, respuestas o anomalías incluidas en un flujo de mensajes
  6. Asegúrese de que los ID de usuario bajo los que se ejecutan las aplicaciones de publicación y suscripción tienen autorización suficiente para transferir mensajes y obtener mensajes de las colas de flujos de mensajes:
    1. Autorice a las aplicaciones de publicación a transferir mensajes a la cola de entrada del flujo de mensajes.
    2. Autorice a las aplicaciones que registran suscripciones a transferir mensajes a la cola SYSTEM.BROKER.CONTROL.QUEUE.
    3. Autorice a las aplicaciones de suscripción a obtener mensajes de la cola en la que se publican los mensajes.
    4. Autorice a las aplicaciones de publicación y suscripción a obtener mensajes de la cola de respuestas.

Si emite peticiones publicación/suscripción de un cliente JMS, están disponibles opciones de seguridad adicionales. Consulte Autenticación SSL, Calidad de protección y Servicios de autenticación.

Vaya a Consideraciones sobre la seguridad en un Gestor de configuración.

Consideraciones sobre la seguridad en un Servidor de nombres de usuario

Efectúe esta tarea respondiendo a la siguiente pregunta:
¿Ha habilitado la seguridad basada en temas en el intermediario?
  1. No: vaya a Consideraciones sobre la seguridad en un Gestor de configuración.
  2. Sí: necesita un Servidor de nombres de usuario. Vaya a Cómo decidir qué cuentas de usuarios pueden ejecutar mandatos Servidor de nombres de usuario.

Cómo decidir qué cuentas de usuarios pueden ejecutar mandatos Servidor de nombres de usuario

Durante esta tarea se decide qué permisos son necesarios para los ID de usuarios que:
  • Crean, cambian, listan, suprimen, inician y detienen un Servidor de nombres de usuario
  • Muestran, recuperan y cambian información de rastreo.

Responda a las siguientes preguntas:

  1. ¿Está instalado el Servidor de nombres de usuario en un sistema operativo Linux o UNIX?
    1. No: vaya a la siguiente pregunta.
    2. Inicio del cambioSí: Asegúrese de que el ID de usuario es miembro del grupo mqbrkrs.

      Vaya a Cómo decidir qué cuenta de usuario utilizar para el ID de servicio del Servidor de nombres de usuario.

      Fin del cambio
  2. ¿Ejecuta los mandatos Servidor de nombres de usuario bajo una cuenta local de Windows?
    1. No: vaya a la siguiente pregunta.
    2. Sí: Suponga que la cuenta local está en un sistema denominado, por ejemplo, WKSTN1. Al crear un Servidor de nombres de usuario, asegúrese de que el ID de usuario está definido en el dominio local. Al crear o iniciar un Servidor de nombres de usuario, asegúrese de que el ID de usuario es miembro de WKSTN1\Administradores.

      Vaya a Cómo decidir qué cuenta de usuario utilizar para el ID de servicio del Servidor de nombres de usuario.

  3. ¿Ejecuta los mandatos Servidor de nombres de usuario bajo una cuenta de dominio de Windows?
    1. Sí: Suponga que el sistema denominado WKSTN1, por ejemplo, es miembro de un dominio denominado DOMAIN1. Al crear un Servidor de nombres de usuario utilizando, por ejemplo, DOMAIN1\user1, asegúrese de que DOMAIN1\user1 es miembro de WKSTN1\Administradores.

      Vaya a Cómo decidir qué cuenta de usuario utilizar para el ID de servicio del Servidor de nombres de usuario.

Cómo decidir qué cuenta de usuario utilizar para el ID de servicio del Servidor de nombres de usuario

Cuando establece el ID de servicio con la opción -i en el mandato mqsicreateusernameserver o mqsichangeusernameserver, determina el ID de usuario bajo el que se ejecuta el proceso del componente Servidor de nombres de usuario.

Responda a las siguientes preguntas:

  1. ¿Está instalado el Servidor de nombres de usuario en un sistema operativo Linux o UNIX?
    1. No: vaya a la siguiente pregunta.
    2. Inicio del cambioSí: Asegúrese de que el ID de usuario es miembro del grupo mqbrkrs.

      Vaya a Configuración de la seguridad en las colas del Servidor de nombres de usuario

      Fin del cambio
  2. ¿Desea que el Servidor de nombres de usuario se ejecute bajo una cuenta local de Windows?
    1. No: vaya a la siguiente pregunta.
    2. Inicio del cambioSí: Asegúrese de que el ID de usuario tenga las características siguientes:
      • Está definido en el dominio local.
      • Es miembro del grupo mqbrkrs.
      • Se le ha concedido el privilegio de Inicio de sesión como un servicio en la política de seguridad local de Windows, a la que puede acceder seleccionando Panel de control > Rendimiento y mantenimiento > Herramientas administrativas > Política de seguridad local.

      Vaya a Configuración de la seguridad en las colas del Servidor de nombres de usuario

      Fin del cambio
  3. ¿Desea que el Servidor de nombres de usuario se ejecute bajo una cuenta de dominio de Windows?
    1. Sí: Suponga que el sistema denominado WKSTN1, por ejemplo, es miembro de un dominio denominado DOMAIN1. Cuando ejecute un Servidor de nombres de usuario utilizando, por ejemplo,DOMAIN1\user1, asegúrese de que:
      • Inicio del cambioAl ID de usuario (user1) se le ha concedido el privilegio de Inicio de sesión como un servicio en la política de seguridad local de Windows, a la que puede acceder seleccionando Panel de control > Rendimiento y mantenimiento > Herramientas administrativas > Política de seguridad local.Fin del cambio
      • DOMAIN1\user1 es miembro de DOMAIN1\Dominio mqbrkrs
      • DOMAIN1\Dominio mqbrkrs sea miembro de WKSTN1\mqbrkrs.

      Vaya a Configuración de la seguridad en las colas del Servidor de nombres de usuario.

Configuración de la seguridad en las colas del Servidor de nombres de usuario

Al ejecutar el mandato mqsicreateusernameserver, el grupo mqbrkrs obtiene autorización de acceso para las siguientes colas:
  • SYSTEM.BROKER.SECURITY.QUEUE
  • SYSTEM.BROKER.MODEL.QUEUE
Sólo el intermediario y el Gestor de configuración requieren acceder a las colas del Servidor de nombres de usuario.

Ejecución del Servidor de nombres de usuario en un entorno de dominio

Cuando los usuarios que emiten mandatos de publicación y suscripción son usuarios del dominio, establezca la opción -d en el mandato mqsicreateusernameserver en el dominio del que proceden dichos usuarios. Todos los usuarios que emiten mandatos de publicación y suscripción deben proceder del mismo dominio.

Avisos | Marcas registradas | Descargas | Biblioteca | Soporte | Su opinión

Copyright IBM Corporation 1999, 2009Copyright IBM Corporation 1999, 2009.
Última actualización : 2009-02-16 13:55:55

ap03983_