WebSphere Message Broker, Versão 8.0.0.5 Sistemas operacionais: AIX, HP-Itanium, Linux, Solaris, Windows, z/OS

Consulte as informações sobre a versão mais recente do produto em IBM Integration Bus, Versão 9.0

Ativando a Segurança de Administração

Ative a segurança de administração em um broker para controlar quais usuários podem concluir tarefas específicas com relação a esse broker e seus recursos.

Opcionalmente, você pode ativar a segurança de administração para um broker quando você o cria. Se você decidir ativar a segurança administrativa após ter criado o broker, poderá alterar a propriedade do broker apropriada.

Ao criar ou alterar um broker, seu ID do usuário deve ser membro do grupo de controle mqm do WebSphere MQ.

  1. Para ativar a segurança de administração do broker ao criar o broker, selecione a opção de segurança no assistente "Criar broker" no WebSphere Message Broker Explorer, ou especifique o parâmetro -s active no comando mqsicreatebroker. Por exemplo, para criar um broker chamado MB8BROKER com a segurança ativada no AIX, insira o seguinte comando:
    mqsicreatebroker MB8BROKER -q MB8QMGR -s active 
    O broker cria a fila de autorização SYSTEM.BROKER.AUTH. Esta fila é usada para definir quais usuários estão autorizados a executar uma ação no broker.

    O broker também designa permissões padrão de autoridade inquire, put e set nesta fila. Estas permissões concedem autoridade read, write e execute no broker para todos os membros do grupo mqbrkrs. Portanto, é necessário assegurar que pelo menos um membro de sua equipe de administração do broker seja membro deste grupo. Também é necessário gerenciar a associação deste grupo com cuidado e assegurar que este nível de autorização seja concedido apenas a usuários que o requerem.

    No z/OS, estas permissões são implementadas como níveis de autoridade no gerenciador de segurança externo (ESM) que você está usando com o WebSphere MQ. Se você estiver usando o RACF como seu ESM, os níveis serão hierárquicos: por exemplo, acesso ALTER implica em acesso READ e WRITE. É necessário, portanto, verificar a documentação para seu ESM para entender os níveis de autorização que ele suporta. Em plataformas distribuídas, não existe nenhuma hierarquia equivalente e as três permissões são independentes.

  2. Para ativar a segurança de administração do broker em um broker existente:
    1. Pare o broker no WebSphere Message Broker Explorer, ou execute o comando mqsistop.
    2. Selecione a opção de segurança para este broker no WebSphere Message Broker Explorer, ou execute o comando mqsichangebroker, especificando o parâmetro -s active. Por exemplo, para ativar a segurança para o broker MB8BROKER, insira o seguinte comando:
      mqsichangebroker
      MB8BROKER -s active 
      O broker cria uma fila para cada grupo de execução definido, com um nome que está em conformidade com o formato SYSTEM.BROKER.AUTH.EG, em que EG é o nome do grupo de execução. Ele designa permissões padrão das autoridades inquire, put e set à fila, que concede acesso de leitura, gravação e execução ao grupo de execução e suas propriedades, para o grupo mqbrkrs. Estas filas e a fila de autorização do broker, SYSTEM.BROKER.AUTH, agora estão prontas para uso.

      Os nomes das filas geradas para seus grupos de execução podem não corresponder exatamente ao nome dos grupos de execução, porque o WebSphere MQ aplica algumas restrições nos nomes da fila de autorização. Para obter detalhes dessas restrições e de possíveis efeitos, consulte Filas de Autorização para Segurança de Administração do Broker.

    3. Inicie o broker no WebSphere Message Broker Explorer, ou execute o comando mqsistart.
  3. Verifique se o ID do usuário com o qual seu broker está em execução é membro do grupo de segurança do WebSphere MQ, mqm. Sem essa autoridade, o broker não pode criar ou excluir as filas de autorização para os grupos de execução no tempo de execução.

    Como a autoridade mqm concede controle de acesso total a todos os recursos do WebSphere MQ, talvez você não queira seu broker em execução com este nível de autoridade. Se não desejar que o broker seja executado com a autoridade mqm, será necessário trabalhar com seu administrador do WebSphere MQ para assegurar que as filas necessárias sejam criadas (e excluídas) no momento apropriado.

    Se desejar conceder ao seu broker a autoridade mqm:

    • Em sistemas Linux e UNIX, inclua no mqm o ID do usuário que iniciou o broker.
    • Em sistemas Windows, inclua no mqm o ID do usuário especificado como o ID do usuário do serviço. Quando você inclui esse ID do usuário, o mesmo nível de autoridade é concedido para todos os IDs de usuários definidos no mesmo grupo primário. Portanto, é necessário controlar cuidadosamente suas associações ao grupo para assegurar que o acesso não seja concedido aos IDs do usuário que não o requerem.
    • No z/OS, conceda permissões equivalentes ao ID do usuário da tarefa iniciada.
  4. Verifique também se o ID do usuário associado ao broker, definido na etapa anterior, possui a autoridade altuser do WebSphere MQ. Esta autoridade é requerida pelo broker para solicitar que o WebSphere MQ verifique autoridades.

    Exibir entradas de registro para um broker usando mqsireportbroker brokerName.

A seguir: Conceda autoridade a usuários para refletir quais tarefas você deseja que eles possam concluir, preenchendo as filas com os detalhes apropriados. Esta tarefa é descrita em Autorizando Usuários para Administração.
Avisos | Marcas Registradas | Downloads | Biblioteca | Suporte | Feedback

Copyright IBM Corporation 1999, 2014Copyright IBM Corporation 1999, 2014.

        
        Última atualização:
        
        Última atualização: 2015-02-28 18:31:44


Tópico de TarefaTópico de Tarefa | Versão 8.0.0.5 | bp43600_