Właściwości informacji uwierzytelniających

Istnieje możliwość ustawienia właściwości dla wszystkich typów obiektów informacji uwierzytelniających. Niektóre właściwości nie dotyczą wszystkich typów obiektów informacji uwierzytelniających, a pewne właściwości są charakterystyczne dla obiektów informacji uwierzytelniającej systemu z/OS.

W poniższej tabeli znajduje się lista właściwości, które można ustawić:

Dla każdej właściwości dostępny jest krótki opis sytuacji, w których wymagana jest jej konfiguracja. W tabelach można także podać równoważny parametr MQSC dla komend DEFINE, ALTER i DISPLAY AUTHINFO. Więcej informacji o komendach MQSC zawiera sekcja Administrowanie za pomocą komend MQSC w Centrum Wiedzy IBM®.

Strona Ogólne

W poniższej tabeli przedstawiono właściwości, które można ustawić na stronie Ogólne w oknie dialogowym właściwości informacji uwierzytelniającej.

Właściwość Znaczenie Parametr MQSC
Nazwa informacji uwierzytelniających Tylko do odczytu. Nie można zmienić nazwy obiektu informacji uwierzytelniających po jej utworzeniu. AUTHINFO
Typ informacji uwierzytelniających Tylko do odczytu. Po utworzeniu obiektu informacji uwierzytelniającej nie można zmienić jego typu. AUTHTYPE
Opis Określ dokładny opis zadania obiektu informacji uwierzytelniających. Patrz sekcja Wprowadzanie łańcuchów w programie MQ Explorer. DESCR
Dyspozycja QSG Tylko do odczytu. Dyspozycja grupy współużytkowania kolejek obiektu informacji uwierzytelniających. Nie można zmienić dyspozycji obiektu informacji uwierzytelniających po jej utworzeniu. Menedżer kolejek oznacza, że definicja obiektu jest dostępna tylko dla menedżera kolejek, który ją udostępnia; Grupa oznacza, że definicja obiektu jest składowana we współużytkowanym repozytorium i każdy menedżer kolejek w grupie współużytkowania kolejek posiada kopię definicji; Kopia oznacza, że definicja obiektu jest kopią definicji menedżera kolejek przechowywaną we współużytkowanym repozytorium. QSGDISP

Strona LDAP

W poniższej tabeli przedstawiono właściwości, które można ustawić na stronie LDAP w oknie dialogowym właściwości informacji uwierzytelniającej CRL LDAP lub IDPW LDAP. Na stronie LDAP wyświetlane są nazwa i informacje uwierzytelniające serwera LDAP.

Właściwość Znaczenie Parametr MQSC
Nazwa serwera LDAP Wpisz nazwę hosta, adres IPv4 w postaci dziesiętnej z kropkami lub zapis szesnastkowy IPv6 hosta, na którym uruchomiony jest serwer LDAP, z opcjonalnym numerem portu. Jeśli nazwa połączenia zostanie określona jako adres IPv6, rozstrzygnięcie adresu będzie możliwe tylko w systemach, w których są uruchomione obiekty informacji uwierzytelniających produktu IBM WebSphere MQ 6.0 ze stosem IPv6. Jeśli obiekt informacji uwierzytelniającej jest częścią listy nazw CRL menedżera kolejek, upewnij się, że każdy klient używający tabeli kanałów klienta generowanej przez menedżer kolejek może rozstrzygnąć nazwę połączenia. W przypadku systemu z/OS aby użyć nazwy połączenia rozstrzyganej na adres sieciowy IPv6, poziom systemu z/OS musi obsługiwać protokół IPv6 dla połączeń z serwerem LDAP. CONNAME
ID użytkownika Określ nazwę wyróżniającą użytkownika uzyskującego dostęp do serwera LDAP z następującymi ograniczeniami:
  • W systemach IBM i, UNIX i Windows maksymalna długość to 1024 znaki.
  • W systemie z/OS maksymalna długość to 256 znaków.
  • W przypadku użycia gwiazdek (*) w nazwie użytkownika są one traktowane jako znaki dosłowne, a nie jako znaki wieloznaczne, ponieważ ID użytkownika serwera LDAP jest konkretną nazwą, a nie łańcuchem używanym do ustalania zgodności.
LDAPUSER
Hasło Określ hasło przypisane do nazwy wyróżniającej użytkownika uzyskującego dostęp do serwera LDAP. Maksymalna długość wynosi 32 znaki. LDAPPWD

Strona OCSP

W poniższej tabeli przedstawiono właściwości, które można ustawić na stronie OCSP w oknie dialogowym właściwości informacji uwierzytelniającej OCSP.

Właściwość Znaczenie Parametr MQSC
Adres URL programu odpowiadającego OCSP Adres URL, przy użyciu którego można nawiązać połączenie z modułem odpowiadającym OCSP.

Ta właściwość ma pierwszeństwo przed adresem URL w rozszerzeniu certyfikatu AuthorityInfoAccess (AIA).

OCSPURL

Strona repozytorium użytkowników LDAP

W poniższej tabeli przedstawiono właściwości, które można ustawić na stronie Repozytorium użytkowników LDAP w oknie dialogowym właściwości informacji uwierzytelniającej IDPW LDAP.

Właściwość Znaczenie Parametr MQSC
Odpowiednik w postaci użytkownika skróconego Pole w rekordzie użytkownika LDAP, które ma być używane jako skrócona nazwa użytkownika dla tego połączenia. SHORTUSR
Podstawowa nazwa wyróżniająca dla ID użytkownika Podstawowa nazwa wyróżniająca używana do znajdowania rekordów użytkowników na serwerze LDAP. BASEDNU
Użyj zabezpieczonej komunikacji Określa, czy połączenia z serwerem LDAP będą nawiązywane przy użyciu protokołu TLS. SECCOMM
Klasa obiektu użytkownika Klasa obiektu LDAP, która zawiera rekordy użytkowników w repozytorium LDAP. CLASSUSR
Kwalifikujące pole użytkownika Kwalifikacja umożliwiająca zidentyfikowanie identyfikatorów użytkowników udostępnionych przez aplikacje jako pola w rekordzie użytkownika LDAP. USRFIELD

Autoryzacja LDAP

W poniższej tabeli przedstawiono właściwości, które można ustawić na stronie Autoryzacja LDAP w oknie dialogowym właściwości informacji uwierzytelniających IDPW LDAP.

Właściwość Znaczenie Parametr MQSC
Metoda autoryzacji Określa, czy autoryzacja jest wykonywana przy użyciu identyfikatorów użytkowników i grup systemu operacyjnego czy przy użyciu repozytorium LDAP. Możliwe wartości:

System operacyjny. Autoryzacja jest wykonywana przy użyciu identyfikatorów użytkowników i grup systemu operacyjnego.

Szukaj grupy. Autoryzacja jest wykonywana przy użyciu identyfikatorów użytkowników i grup repozytorium LDAP. Wpis grupy w repozytorium LDAP zawiera właściwość umożliwiającą wyświetlenie nazwy wyróżniającej wszystkich użytkowników, którzy należą do grupy.

Szukaj użytkownika. Autoryzacja jest wykonywana przy użyciu identyfikatorów użytkowników i grup repozytorium LDAP. Wpis użytkownika w repozytorium LDAP zawiera właściwość umożliwiającą wyświetlenie nazw wyróżniających wszystkich grup, do których należy użytkownik.

Skrócona nazwa grupy wyszukiwania. Autoryzacja jest wykonywana przy użyciu identyfikatorów użytkowników i grup repozytorium LDAP. Wpis grupy w repozytorium LDAP zawiera właściwość umożliwiającą wyświetlanie skróconych nazw wszystkich użytkowników, którzy należą do grupy.

AUTHORMD
Zezwalaj na zagnieżdżone grupy Określa, czy zagnieżdżone grupy są dozwolone. Możliwe wartości:

Nie. Zagnieżdżone grupy nie są dozwolone.

Tak. Zagnieżdżone grupy są dozwolone. Lista grup jest przeszukiwana rekurencyjnie w celu wyliczenia wszystkich grup, do których należy użytkownik.

NESTGRP
Podstawowa nazwa wyróżniająca dla grupy Podstawowa nazwa wyróżniająca używana do znajdowania rekordów grup na serwerze LDAP. BASEDNG
Klasa obiektu grupy Klasa obiektu LDAP, która zawiera rekordy grup w repozytorium LDAP. CLASSGRP
Kwalifikujące pole grupy Kwalifikacja umożliwiająca zidentyfikowanie grupy jako pola w rekordzie grupy LDAP. GRPFIELD
Pole przypisania do grupy Nazwa właściwości używanej w obrębie rekordu LDAP użytkownika lub grupy w celu określenia przypisania do grupy. FINDGRP

Strona ID użytkownika i hasło

W poniższej tabeli przedstawiono właściwości, które można ustawić na stronie ID użytkownika i hasło w oknie dialogowym właściwości informacji uwierzytelniającej IDPW OS lub IDPW LDAP.

Właściwość Znaczenie Parametr MQSC
Sprawdzanie lokalnie powiązanych połączeń Określa, czy w przypadku połączeń nawiązanych za pomocą powiązań lokalnych dla połączenia należy podać identyfikator użytkownika i hasło na potrzeby sprawdzenia poprawności. Możliwe wartości:

Brak. ID użytkownika i hasło nie są wymagane.

Opcjonalna. Identyfikator użytkownika ani hasło nie są wymagane, lecz w przypadku ich podania zostaną sprawdzone.

Wymagane dla administratorów. ID użytkownika i hasło są wymagane w przypadku użytkowników uprzywilejowanych.

Wymagane dla wszystkich. ID użytkownika i hasło są wymagane w przypadku wszystkich użytkowników.

Ustawienie dla parametru CHCKLOCL opcji Wymagane dla administratorów lub Wymagane dla wszystkich uniemożliwia lokalne administrowanie menedżerem kolejek za pomocą komend runmqsc, chyba że zostanie określony parametr -u identyfikator_użytkownika w wierszu komendy runmqsc. Jeśli ten parametr nie zostanie określony, zostanie wyświetlony komunikat o błędzie AMQ8135: Brak autoryzacji. Podobnie po uruchomieniu programu IBM MQ Explorer w systemie lokalnym może wystąpić błąd AMQ4036: Brak dostępu przy próbie nawiązania połączenia z menedżerem kolejek.

Aby określić nazwę użytkownika i hasło, należy kliknąć prawym przyciskiem myszy obiekt menedżera kolejek lokalnych, a następnie wybrać z menu opcję Szczegóły połączenia > Właściwości. W sekcji ID użytkownika należy wprowadzić nazwę użytkownika i hasło, a następnie kliknąć przycisk OK.

CHCKLOCL
Sprawdzanie połączeń klienckich Określa, czy w przypadku połączeń nawiązywanych za pomocą połączeń klienckich należy podać ID użytkownika i hasło na potrzeby sprawdzania poprawności. Możliwe wartości:

Brak. ID użytkownika i hasło nie są wymagane.

Opcjonalna. ID użytkownika i hasło nie są wymagane, ale zostaną sprawdzone w przypadku ich podania.

Wymagane dla administratorów. ID użytkownika i hasło są wymagane w przypadku użytkowników uprzywilejowanych.

Wymagane dla wszystkich. ID użytkownika i hasło są wymagane w przypadku wszystkich użytkowników.

CHCKCLNT
Dołączenie uwierzytelnionego użytkownika Określa, czy w ramach kontekstu połączenia należy dołączyć ID użytkownika, który został podany wraz z hasłem. Możliwe wartości:

Tak. Sprawdzony ID użytkownika zostanie dołączony jako kontekst połączenia. Jeśli wyświetlany ID użytkownika jest identyfikatorem użytkownika LDAP i sprawdzanie autoryzacji jest wykonywane przy użyciu identyfikatorów użytkowników systemu operacyjnego, parametr SHORTUSR powiązany z wpisem użytkownika w repozytorium LDAP zostanie użyty jako referencje na potrzeby sprawdzania autoryzacji.

Nie. Sprawdzony ID użytkownika nie zostanie dołączony jako kontekst połączenia.

ADOPTCTX
Opóźnienie niepowodzenia uwierzytelniania Ta właściwość określa czas opóźnienia przed zwróceniem kodu powrotu niepowodzenia do aplikacji, na przykład jeśli odpowiedź nie zostanie odebrana przez żądanie mqmconnx. Czas (w sekundach) z zakresu 0 - 60. Wartość 0 oznacza brak opóźnienia. FAILDLAY

Strona Statystyka

W poniższej tabeli przedstawiono właściwości, które można ustawić na stronie Statystyka w oknie dialogowym właściwości informacji uwierzytelniającej. Na stronie Statystyka wyświetlane są informacje na temat historii obiektu informacji uwierzytelniających. Nie można edytować wartości żadnej z tych właściwości.

Właściwość Znaczenie Parametr MQSC
Data zmiany Tylko do odczytu. Data ostatniego wprowadzenia zmian do właściwości obiektu informacji uwierzytelniającej. ALTDATE
Godzina zmiany Tylko do odczytu. Godzina ostatniego wprowadzenia zmian do właściwości obiektu informacji uwierzytelniającej. ALTTIME