Eigenschaften der Authentifizierungsinformationen

Sie können die Attribute für sämtliche Arten von Authentifizierungsinformationsobjekten festlegen. Einige der Attribute gelten nicht für alle Arten von Authentifizierungsinformationsobjekten, andere wieder sind spezifisch für Authentifizierungsinformationsobjekte unter z/OS.

In den folgenden Tabellen werden die Attribute aufgeführt, die festgelegt werden können:

Für jedes Attribut wird kurz beschrieben, wann dessen Konfiguration erforderlich oder sinnvoll sein kann. In der Tabelle werden auch die entsprechenden MQSC-Parameter für die Befehle ALTER AUTHINFO und DISPLAY AUTHINFO genannt. Weitere Informationen zu MQSC-Befehlen finden Sie im Abschnitt Scriptbefehle (MQSC) in der Online-Produktdokumentation zu IBM® MQ.

Seite 'Allgemein'

In der folgenden Tabelle werden die Attribute aufgeführt, die Sie auf der Seite Allgemein im Dialog mit den Eigenschaften der Authentifizierungsinformationen festlegen können.

Attribut Bedeutung MQSC-Parameter
Name der Auth.-Info Schreibgeschützt. Der Name eines Authentifizierungsinformationsobjekts kann nach dessen Erstellung nicht geändert werden. AUTHINFO
Auth.-Infotyp Schreibgeschützt. Der Typ eines Authentifizierungsinformationsobjekts kann nach dessen Erstellung nicht geändert werden. AUTHTYPE
Beschreibung Geben Sie für das Authentifizierungsinformationsobjekt eine aussagekräftige Beschreibung des Zwecks an. Informationen hierzu finden Sie im Abschnitt Zeichenfolgen in MQ Explorer eingeben. DESCR
QSG-Disposition Schreibgeschützt. Die Disposition der Gruppe mit gemeinsamer Warteschlange des Authentifizierungsinformationsobjekts. Die Disposition eines Authentifizierungsinformationsobjekts kann nach dessen Erstellung nicht geändert werden. Warteschlangenmanager bedeutet, dass die Objektdefinition nur dem Warteschlangenmanager zur Verfügung steht, der sie enthält; Gruppe bedeutet, dass die Objektdefinition im gemeinsamen Repository gespeichert wird und dass jeder Warteschlangenmanager in der Gruppe mit gemeinsamer Warteschlange über eine Kopie der Definition verfügt; Kopie bedeutet, dass es sich bei der Objektdefinition um die Kopie einer Definition im gemeinsamen Repository handelt, die dem Warteschlangenmanager gehört. QSGDISP

Seite 'LDAP'

In der folgenden Tabelle werden die Attribute aufgeführt, die Sie auf der Seite LDAP im Dialog mit den Eigenschaften der CRL-LDAP- oder IDPW-LDAP-Authentifizierungsinformationen festlegen können. Auf der Seite LDAP werden der Name und die Authentifizierungsinformationen für den LDAP-Server angezeigt.

Attribut Bedeutung MQSC-Parameter
LDAP-Servername Geben Sie den Hostnamen, die Adresse in IPv4-Schreibweise mit Trennzeichen oder in IPv6-Hexadezimalschreibweise des Hosts an, auf dem der LDAP-Server ausgeführt wird, und optional die Portnummer. Wenn Sie den Verbindungsnamen in Form einer IPv6-Adresse angeben, kann diese Adresse nur von Systemen aufgelöst werden, auf denen IBM WebSphere MQ Version 6.0-Authentifizierungsinformationsobjekte mit einem IPv6-Stack ausgeführt werden. Wenn das Authentifizierungsinformationsobjekt in der CRL-Namensliste des Warteschlangenmanagers enthalten ist, müssen Sie sicherstellen, dass alle Clients, von denen die vom Warteschlangenmanager generierte Clientkanaltabelle verwendet wird, den Verbindungsnamen auflösen können. Damit unter z/OS ein Verbindungsname angegeben werden kann, der in eine IPv6-Netzadresse aufgelöst wird, muss die verwendete z/OS-Version IPv6 für die Herstellung von Verbindungen zu einem LDAP-Server unterstützen. CONNAME
Benutzer-ID Geben Sie den DN-Namen des Benutzers ein, der auf den LDAP-Server zugreift. Hierbei müssen folgende Einschränkungen beachtet werden:
  • Unter IBM i, UNIX und Windows ist die maximal zulässige Länge 1024 Zeichen.
  • Unter z/OS ist die maximal zulässige Länge 256 Zeichen.
  • Falls Sie im Benutzernamen Sterne (*) verwenden, werden sie als Literale und nicht als Platzhalter behandelt, da die LDAP-Benutzer-ID ein spezifischer Name und keine Zeichenfolge zum Abgleich ist.
LDAPUSER
Kennwort Geben Sie das Kennwort ein, das dem DN-Namen des Benutzers zugeordnet ist, der auf den LDAP-Server zugreift. Die maximal zulässige Länge beträgt 32 Zeichen. LDAPPWD

Seite 'OCSP'

In der folgenden Tabelle werden die Attribute aufgeführt, die Sie auf der Seite OCSP im Dialog mit den Eigenschaften der OCSP-Authentifizierungsinformationen festlegen können.

Attribut Bedeutung MQSC-Parameter
OCSP-Responder-URL Die URL, unter der der OCSP-Responder kontaktiert werden kann.

Dieses Attribut hat Vorrang vor einer URL in einer AIA-Zertifikatserweiterung (AIA - AuthorityInfoAccess).

OCSPURL

Seite 'LDAP-Benutzerrepository'

In der folgenden Tabelle werden die Attribute aufgeführt, die Sie auf der Seite LDAP-Benutzerrepository im Dialog mit den Eigenschaften der IDPW-LDAP-Authentifizierungsinformationen festlegen können.

Attribut Bedeutung MQSC-Parameter
Entsprechender Benutzerkurzname Ein Feld im LDAP-Benutzerdatensatz mit dem kurzen Benutzernamen für diese Verbindung. SHORTUSR
Basis-DN der Benutzer-ID Der Basis-DN, in dem Benutzerdatensätze auf einem LDAP-Server gesucht werden. BASEDNU
Sichere Kommunikation verwenden Legt fest, ob die Verbindung zum LDAP-Server über TLS hergestellt wird. SECCOMM
Benutzerobjektklasse Die LDAP-Objektklasse für Benutzerdatensätze im LDAP-Repository. CLASSUSR
Qualifizierendes Benutzerfeld Ein Merkmal, anhand dem die von Anwendungen bereitgestellten IDs im LDAP-Benutzerdatensatz als Feld erkannt werden. USRFIELD

LDAP-Autorisierung

In der folgenden Tabelle werden die Attribute aufgeführt, die Sie auf der Seite LDAP-Autorisierung im Dialog mit den Eigenschaften der IDPW-LDAP-Authentifizierungsinformationen festlegen können.

Attribut Bedeutung MQSC-Parameter
Autorisierungsverfahren Bestimmt, ob die Autorisierung über die Benutzer-IDs und Gruppen des Betriebssystems oder des LDAP-Repositorys erfolgt. Folgende Werte sind gültig:

Operating System (Betriebssystem). Die Autorisierung erfolgt über die Benutzer-IDs und Gruppen des Betriebssystems.

Gruppe suchen. Die Autorisierung erfolgt über die Benutzer-IDs und Gruppen des LDAP-Repositorys. Der Gruppeneintrag im LDAP-Repository enthält ein Attribut mit einer Liste der definierten Namen aller Benutzer, die in der Gruppe enthalten sind.

Benutzer suchen. Die Autorisierung erfolgt über die Benutzer-IDs und Gruppen des LDAP-Repositorys. Der Benutzereintrag im LDAP-Repository enthält ein Attribut mit einer Liste aller definierten Namen der Gruppen, zu denen der Benutzer gehört.

[V9.0.5 Mar 2018]Kurznamen der Gruppe suchen. Die Autorisierung erfolgt über die Benutzer-IDs und Gruppen des LDAP-Repositorys. Der Gruppeneintrag im LDAP-Repository enthält ein Attribut mit einer Liste der Benutzerkurznamen aller Benutzer, die in der Gruppe enthalten sind.

AUTHORMD
Verschachtelte Gruppen zulassen Bestimmt, ob verschachtelte Gruppen zugelassen sind. Folgende Werte sind möglich:

No (Nein). Verschachtelte Gruppen sind nicht zugelassen.

Yes (Ja): Verschachtelte Gruppen sind zugelassen. Die Gruppenliste wird rekursiv nach allen Gruppen durchsucht, zu denen ein Benutzer gehört.

NESTGRP
Basis-DN für Gruppen Der Basis-DN, in dem Gruppendatensätze auf einem LDAP-Server gesucht werden. BASEDNG
Gruppenobjektklasse Die LDAP-Objektklasse für Gruppendatensätze im LDAP-Repository. CLASSGRP
Feld zur Qualifizierung von Gruppen Ein Merkmal, anhand dem Gruppen im LDAP-Gruppendatensatz als Feld erkannt werden. GRPFIELD
Gruppenzugehörigkeitsfeld Name des Attributs in einem LDAP-Benutzer- oder Gruppendatensatz, das die Gruppenzugehörigkeit festlegt. FINDGRP

Seite 'Benutzer-ID + Kennwort'

In der folgenden Tabelle werden die Attribute aufgeführt, die Sie auf der Seite Benutzer-ID + Kennwort im Dialog mit den Eigenschaften der IDPW-OS oder IDPW-LDAP-Authentifizierungsinformationen festlegen können.

Attribut Bedeutung MQSC-Parameter
Lokal gebundene Verbindungen überprüfen Legt fest, ob für Verbindungen, die über eine lokale Bindung erfolgen, zur Authentifizierung eine Benutzer-ID und ein Kennwort eingegeben werden müssen. Folgende Werte sind möglich:

None (Keine): Keine Benutzer-ID und kein Kennwort erforderlich.

Optional: Keine Benutzer-ID und kein Kennwort erforderlich, falls aber bereitgestellt, so werden sie überprüft.

Required for administrators (Für Administratoren erforderlich): Für privilegierte Benutzer ist die Eingabe einer Benutzer-ID und eines Kennworts erforderlich.

Erforderlich für alle: Die Eingabe einer Benutzer-ID und eines Kennworts ist für alle Benutzer erforderlich.

Wenn CHCKLOCL auf Erforderlich für Administratoren oder Erforderlich für alle gesetzt ist, kann der Warteschlangenmanager ohne Angabe des Parameters -u UserID (in der Befehlszeile von runmqsc) nicht mehr mit dem Befehl runmqsc verwaltet werden. Fehlt dieser Parameter, wird die Fehlernachricht AMQ8135: Not authorized (Nicht berechtigt) ausgegeben. Ebenso kann bei Ausführung von IBM MQ Explorer auf Ihrem lokalen System der Fehler AMQ4036: Access not permitted (Zugriff verweigert) ausgegeben werden, wenn Sie versuchen, eine Verbindung zu einem Warteschlangenmanager herzustellen.

Zur Angabe eines Benutzernamens und Kennworts klicken Sie mit der rechten Maustaste auf das Objekt des lokalen Warteschlangenmanagers und wählen Sie dann Verbindungsdetails > Eigenschaften aus. Geben Sie im Bereich Benutzer-ID Name und Kennwort ein und klicken Sie dann auf OK.

CHCKLOCL
Clientverbindungen überprüfen Legt fest, ob für Verbindungen, die über eine Clientverbindung erfolgen, zur Authentifizierung eine Benutzer-ID und ein Kennwort eingegeben werden müssen. Folgende Werte sind möglich:

None (Keine): Keine Benutzer-ID und kein Kennwort erforderlich.

Optional: Keine Benutzer-ID und kein Kennwort erforderlich, falls aber bereitgestellt, so werden sie überprüft.

Required for administrators (Für Administratoren erforderlich): Für privilegierte Benutzer ist die Eingabe einer Benutzer-ID und eines Kennworts erforderlich.

Erforderlich für alle: Die Eingabe einer Benutzer-ID und eines Kennworts ist für alle Benutzer erforderlich.

CHCKCLNT
Authentifizierten Benutzer annehmen Legt fest, ob die Benutzer-ID, die mit einem Kennwort bereitgestellt wurde, als Kontext für diese Verbindung übernommen werden soll. Folgende Werte sind möglich:

Yes (Ja): Die validierte Benutzer-ID wird als Kontext für diese Verbindung übernommen. Wenn die bereitgestellte Benutzer-ID eine Benutzer-ID aus dem LDAP-Registry ist, die Autorisierung aber über die Benutzer-IDs des Betriebssystems erfolgt, wird der Wert von SHORTUSR des Benutzereintrags im LDAP-Registry als Berechtigungsnachweis zur Überprüfung der Autorisierung verwendet.

Nein: Die validierte Benutzer-ID wird nicht als Kontext für diese Verbindung übernommen.

ADOPTCTX
Verzögerung bei Authentifizierungsfehler Dieses Attribut legt die Dauer der Verzögerung vor der Rückgabe des Fehlerrückgabecodes an die Anwendung fest, wenn beispielsweise eine mqmconnx-Anforderung keine Antwort erhält. Angegeben wird die Zeit in Sekunden zwischen 0 und 60. Bei Null kommt es zu keiner Verzögerung. FAILDLAY

Seite 'Statistik'

In der folgenden Tabelle werden die Attribute aufgeführt, die Sie auf der Seite Statistik im Dialog mit den Eigenschaften der Authentifizierungsinformationen festlegen können. Auf der Seite Statistik werden Informationen zum Verlauf des Authentifizierungsinformationsobjekts angezeigt. Die Werte dieser Attribute können nicht bearbeitet werden.

Attribut Bedeutung MQSC-Parameter
Änderungsdatum Schreibgeschützt. Dieses Attribut zeigt das Datum an, an dem die Attribute des Authentifizierungsdatenobjekts zuletzt geändert wurden. ALTDATE
Änderungszeit Schreibgeschützt. Dieses Attribut zeigt die Uhrzeit an, zu der die Attribute des Authentifizierungsinformationsobjekts zuletzt geändert wurden. ALTTIME

Referenz Referenz

Feedback

Timestamp icon Letzte Aktualisierung: 6. Februar 2018
http://www.ibm.com/support/knowledgecenter/SSFKSJ_9.0.0/com.ibm.mq.explorer.doc/com.ibm.mq.explorer.doc/e_properties_authinfo.htm