Właściwości informacji uwierzytelniających

Istnieje możliwość ustawienia właściwości dla wszystkich typów obiektów informacji uwierzytelniających. Niektóre właściwości nie mają zastosowania do wszystkich typów obiektów informacji uwierzytelniających, a niektóre właściwości są specyficzne dla obiektów informacji uwierzytelniających z/OS® .

W poniższej tabeli znajduje się lista właściwości, które można ustawić:

Dla każdej właściwości dostępny jest krótki opis sytuacji, w których wymagana jest jej konfiguracja. W tabelach można także podać równoważny parametr MQSC dla komend DEFINE, ALTER i DISPLAY AUTHINFO. Więcej informacji na temat komend MQSC zawiera sekcja Administrowanie przy użyciu komend MQSC.

Strona Ogólne

W poniższej tabeli przedstawiono właściwości, które można ustawić na stronie Ogólne w oknie dialogowym właściwości informacji uwierzytelniającej.

Właściwość Znaczenie Parametr MQSC
Nazwa informacji uwierzytelniającej Tylko do odczytu. Nie można zmienić nazwy obiektu informacji uwierzytelniających po jej utworzeniu. AUTHINFO
Typ informacji uwierzytelniającej Tylko do odczytu. Po utworzeniu obiektu informacji uwierzytelniającej nie można zmienić jego typu. AUTHTYPE
Opis Określ dokładny opis zadania obiektu informacji uwierzytelniających. Patrz sekcja Wprowadzanie łańcuchów w programie MQ Explorer. DESCR
Dyspozycja QSG Tylko do odczytu. Dyspozycja grupy współużytkowania kolejek obiektu informacji uwierzytelniających. Nie można zmienić dyspozycji obiektu informacji uwierzytelniających po jej utworzeniu. Queue manager oznacza, że definicja obiektu jest dostępna tylko dla menedżera kolejek, który ją udostępnia; Group oznacza, że definicja obiektu jest składowana we współużytkowanym repozytorium i każdy menedżer kolejek w grupie współużytkowania kolejek ma kopię tej definicji; Copy oznacza, że definicja obiektu jest kopią definicji menedżera kolejek we współużytkowanym repozytorium. QSGDISP

Strona LDAP

W poniższej tabeli znajduje się lista właściwości, które można ustawić na stronie LDAP okna dialogowego Właściwości informacji uwierzytelniających CRL LDAP lub IDPW LDAP. Na stronie LDAP wyświetlane są nazwa i informacje uwierzytelniające serwera LDAP.

Właściwość Znaczenie Parametr MQSC
Nazwa serwera LDAP Wpisz nazwę hosta, adres IPv4 w postaci dziesiętnej z kropkami lub zapis szesnastkowy IPv6 hosta, na którym uruchomiony jest serwer LDAP, z opcjonalnym numerem portu. Jeśli nazwa połączenia jest podana jako adres IPv6, to tylko systemy, na których działają obiekty informacji uwierzytelniających produktu IBM® WebSphere® MQ 6.0. ze stosem IPv6 są w stanie rozstrzygnąć ten adres. Jeśli obiekt informacji uwierzytelniającej jest częścią listy nazw CRL menedżera kolejek, upewnij się, że każdy klient używający tabeli kanałów klienta generowanej przez menedżer kolejek może rozstrzygnąć nazwę połączenia. Q przypadku systemu z/OS, aby użyć nazwy połączenia rozstrzyganej na adres sieciowy IPv6 poziom systemu z/OS musi obsługiwać protokół IPv6 dla połączeń z serwerem LDAP. CONNAME
ID użytkownika Określ nazwę wyróżniającą użytkownika uzyskującego dostęp do serwera LDAP z następującymi ograniczeniami:
  • W wersji wieloplatformowej maksymalna długość to 1024 znaki.
  • W przypadku systemu z/OS maksymalna długość wynosi 256 znaków.
  • W przypadku użycia gwiazdek (*) w nazwie użytkownika są one traktowane jako znaki dosłowne, a nie jako znaki wieloznaczne, ponieważ ID użytkownika serwera LDAP jest konkretną nazwą, a nie łańcuchem używanym do ustalania zgodności.
LDAPUSER
Hasło Określ hasło przypisane do nazwy wyróżniającej użytkownika uzyskującego dostęp do serwera LDAP. Maksymalna długość wynosi 32 znaki. LDAPPWD

Strona OCSP

W poniższej tabeli znajduje się lista właściwości, które można ustawić na stronie OCSP okna dialogowego Właściwości informacji uwierzytelniających.

Właściwość Znaczenie Parametr MQSC
Adres URL programu odpowiadającego OCSP Adres URL, przy użyciu którego można nawiązać połączenie z modułem odpowiadającym OCSP.

Ta właściwość ma pierwszeństwo przed adresem URL w rozszerzeniu certyfikatu AuthorityInfoAccess (AIA).

OCSPURL

Strona repozytorium użytkowników LDAP

W poniższej tabeli przedstawiono właściwości, które można ustawić na stronie Repozytorium użytkowników LDAP w oknie dialogowym właściwości informacji uwierzytelniającej IDPW LDAP.

Właściwość Znaczenie Parametr MQSC
Odpowiednik w postaci użytkownika skróconego Pole w rekordzie użytkownika LDAP, które ma być używane jako skrócona nazwa użytkownika dla tego połączenia. SHORTUSR
Podstawowa nazwa wyróżniająca dla ID użytkownika Podstawowa nazwa wyróżniająca używana do znajdowania rekordów użytkowników na serwerze LDAP. BASEDNU
Użyj zabezpieczonej komunikacji Określa, czy połączenia z serwerem LDAP będą nawiązywane przy użyciu protokołu TLS. SECCOMM
Klasa obiektu użytkownika Klasa obiektu LDAP, która zawiera rekordy użytkowników w repozytorium LDAP. CLASSUSR
Kwalifikujące pole użytkownika Kwalifikacja umożliwiająca zidentyfikowanie identyfikatorów użytkowników udostępnionych przez aplikacje jako pola w rekordzie użytkownika LDAP. USRFIELD

Autoryzacja LDAP

W poniższej tabeli przedstawiono właściwości, które można ustawić na stronie Autoryzacja LDAP w oknie dialogowym właściwości informacji uwierzytelniających IDPW LDAP.

Właściwość Znaczenie Parametr MQSC
Metoda autoryzacji Określa, czy autoryzacja jest wykonywana przy użyciu identyfikatorów użytkowników i grup systemu operacyjnego czy przy użyciu repozytorium LDAP. Możliwe wartości:

System operacyjny. Autoryzacja jest wykonywana przy użyciu identyfikatorów użytkowników i grup systemu operacyjnego.

Szukaj grupy. Autoryzacja jest wykonywana przy użyciu identyfikatorów użytkowników i grup repozytorium LDAP. Wpis grupy w repozytorium LDAP zawiera właściwość umożliwiającą wyświetlenie nazwy wyróżniającej wszystkich użytkowników, którzy należą do grupy.

Szukaj użytkownika. Autoryzacja jest wykonywana przy użyciu identyfikatorów użytkowników i grup repozytorium LDAP. Wpis użytkownika w repozytorium LDAP zawiera właściwość umożliwiającą wyświetlenie nazw wyróżniających wszystkich grup, do których należy użytkownik.

Skrócona nazwa grupy wyszukiwania. Autoryzacja jest wykonywana przy użyciu identyfikatorów użytkowników i grup repozytorium LDAP. Wpis grupy w repozytorium LDAP zawiera właściwość umożliwiającą wyświetlanie skróconych nazw wszystkich użytkowników, którzy należą do grupy.

AUTHORMD
Zezwalaj na zagnieżdżone grupy Określa, czy zagnieżdżone grupy są dozwolone. Możliwe wartości:

Nie. Zagnieżdżone grupy nie są dozwolone.

TAK. Zagnieżdżone grupy są dozwolone. Lista grup jest przeszukiwana rekurencyjnie w celu wyliczenia wszystkich grup, do których należy użytkownik.

NESTGRP
Podstawowa nazwa wyróżniająca dla grupy Podstawowa nazwa wyróżniająca używana do znajdowania rekordów grup na serwerze LDAP. BASEDNG
Klasa obiektu grupy Klasa obiektu LDAP, która zawiera rekordy grup w repozytorium LDAP. CLASSGRP
Kwalifikujące pole grupy Kwalifikacja umożliwiająca zidentyfikowanie grupy jako pola w rekordzie grupy LDAP. GRPFIELD
Pole przypisania do grupy Nazwa właściwości używanej w obrębie rekordu LDAP użytkownika lub grupy w celu określenia przypisania do grupy. FINDGRP

Strona ID użytkownika i hasło

W poniższej tabeli znajduje się lista właściwości, które można ustawić na stronie ID użytkownika i hasło okna dialogowego Właściwości informacji uwierzytelniających IDPW OS lub IDPW LDAP.

Właściwość Znaczenie Parametr MQSC
Sprawdź lokalnie powiązane połączenia Określa, czy w przypadku połączeń nawiązanych za pomocą powiązań lokalnych dla połączenia należy podać identyfikator użytkownika i hasło na potrzeby sprawdzenia poprawności. Możliwe wartości:

Brak. ID użytkownika i hasło nie są wymagane.

Opcjonalna. Identyfikator użytkownika ani hasło nie są wymagane, lecz w przypadku ich podania zostaną sprawdzone.

Wymagane dla administratorów. ID użytkownika i hasło są wymagane w przypadku użytkowników uprzywilejowanych.

Wymagane dla wszystkich. ID użytkownika i hasło są wymagane w przypadku wszystkich użytkowników.

Ustawienie dla parametru CHCKLOCL opcji Wymagane dla administratorów lub Wymagane dla wszystkich uniemożliwia lokalne administrowanie menedżerem kolejek za pomocą komend runmqsc, chyba że zostanie określony parametr -u identyfikator_użytkownika w wierszu komendy runmqsc. Jeśli ten parametr nie zostanie podany, zostanie wyświetlony komunikat o błędzie AMQ8135: Not authorized. Podobnie, gdy program IBM MQ Explorer jest uruchamiany w systemie lokalnym, podczas próby nawiązania połączenia z menedżerem kolejek może zostać wyświetlony błąd AMQ4036: Access not permitted.

Aby określić nazwę użytkownika i hasło, kliknij prawym przyciskiem myszy lokalny obiekt menedżera kolejek, a następnie wybierz z menu opcję Szczegóły połączenia > Właściwości . W sekcji UserID wprowadź nazwę użytkownika i hasło, a następnie kliknij przycisk OK.

CHCKLOCL
Sprawdź połączenia klienckie Określa, czy w przypadku połączeń nawiązywanych za pomocą połączeń klienckich należy podać ID użytkownika i hasło na potrzeby sprawdzania poprawności. Możliwe wartości:

Brak. ID użytkownika i hasło nie są wymagane.

Opcjonalna. ID użytkownika i hasło nie są wymagane, ale zostaną sprawdzone w przypadku ich podania.

Wymagane dla administratorów. ID użytkownika i hasło są wymagane w przypadku użytkowników uprzywilejowanych.

Wymagane dla wszystkich. ID użytkownika i hasło są wymagane w przypadku wszystkich użytkowników.

CHCKCLNT
Dołącz uwierzytelnionego użytkownika Określa, czy w ramach kontekstu połączenia należy dołączyć ID użytkownika, który został podany wraz z hasłem. Możliwe wartości:

TAK. Sprawdzony ID użytkownika zostanie dołączony jako kontekst połączenia. Jeśli wyświetlany ID użytkownika jest identyfikatorem użytkownika LDAP i sprawdzanie autoryzacji jest wykonywane przy użyciu identyfikatorów użytkowników systemu operacyjnego, parametr SHORTUSR powiązany z wpisem użytkownika w repozytorium LDAP zostanie użyty jako referencje na potrzeby sprawdzania autoryzacji.

Nie. Sprawdzony identyfikator użytkownika nie zostanie dołączony jako kontekst połączenia.

ADOPTCTX
Opóźnienie niepowodzenia uwierzytelniania Ta właściwość określa czas opóźnienia przed zwróceniem kodu powrotu niepowodzenia do aplikacji, na przykład jeśli odpowiedź nie zostanie odebrana przez żądanie mqmconnx. Czas (w sekundach) z zakresu 0 - 60. Wartość 0 oznacza brak opóźnienia. FAILDLAY

Strona Statystyka

W poniższej tabeli przedstawiono właściwości, które można ustawić na stronie Statystyka w oknie dialogowym właściwości informacji uwierzytelniającej. Na stronie Statystyka wyświetlane są informacje na temat historii obiektu informacji uwierzytelniających. Nie można edytować wartości żadnej z tych właściwości.

Właściwość Znaczenie Parametr MQSC
Data zmiany Tylko do odczytu. Data ostatniego wprowadzenia zmian do właściwości obiektu informacji uwierzytelniającej. ALTDATE
Godzina zmiany Tylko do odczytu. Godzina ostatniego wprowadzenia zmian do właściwości obiektu informacji uwierzytelniającej. ALTTIME