Ative a segurança de administração em um broker para
controlar quais usuários podem concluir tarefas específicas com relação a esse broker e seus recursos.
Opcionalmente, você pode ativar a segurança de administração para um broker
quando você o cria. Se você decidir ativar a segurança administrativa após ter criado o broker, poderá
alterar a propriedade do broker apropriada.
Ao criar ou alterar um broker, seu
ID do usuário deve ser membro do grupo de controle mqm do WebSphere MQ.
- Para ativar a segurança de administração do broker ao criar o broker, selecione a opção de segurança no
assistente "Criar broker" no WebSphere Message Broker Explorer, ou especifique o parâmetro
-s active no comando mqsicreatebroker. Por exemplo, para criar um broker chamado MB8BROKER com
a segurança ativada no AIX, insira o seguinte comando:
mqsicreatebroker MB8BROKER -q MB8QMGR -s active
O broker cria a fila de autorização SYSTEM.BROKER.AUTH. Esta fila é usada para definir
quais usuários estão autorizados a executar uma ação no broker.
O broker também designa permissões padrão de autoridade inquire, put e set nesta fila. Estas permissões
concedem autoridade read, write e execute no broker para todos os membros do grupo
mqbrkrs.
Portanto, é necessário assegurar que pelo menos um membro de sua equipe de administração do broker seja
membro deste grupo. Também é necessário gerenciar a associação deste grupo com cuidado e assegurar que este
nível de autorização seja concedido apenas a usuários que o requerem.
No z/OS, estas permissões são implementadas como
níveis de autoridade no gerenciador de segurança externo (ESM) que você está usando com o
WebSphere MQ. Se você estiver usando o RACF como seu ESM, os níveis serão hierárquicos:
por exemplo, acesso ALTER implica em acesso READ e WRITE. É necessário, portanto, verificar a
documentação para seu ESM para entender os níveis de autorização que ele suporta. Em plataformas distribuídas, não existe nenhuma hierarquia equivalente e as três permissões são independentes.
- Para ativar a segurança de administração do broker em um broker existente:
- Pare o broker no WebSphere Message Broker Explorer, ou execute o comando
mqsistop.
- Selecione a opção de segurança para este broker no WebSphere Message Broker Explorer, ou
execute o comando mqsichangebroker, especificando o parâmetro
-s active. Por exemplo, para ativar a segurança para o broker
MB8BROKER, insira o seguinte comando:
mqsichangebroker
MB8BROKER -s active
O broker cria uma fila para cada grupo de execução definido, com um nome que está em conformidade com o
formato SYSTEM.BROKER.AUTH.EG, em que EG é o nome do grupo de
execução. Ele designa permissões padrão das autoridades inquire, put e set à fila, que concede acesso de
leitura, gravação e execução ao grupo de execução e suas propriedades, para o grupo
mqbrkrs. Estas filas e a fila de autorização do broker,
SYSTEM.BROKER.AUTH, agora estão prontas para uso.
Os nomes das filas geradas para seus grupos de execução podem não corresponder exatamente ao nome dos
grupos de execução, porque o WebSphere MQ aplica algumas restrições nos nomes da
fila de autorização. Para obter detalhes dessas restrições e de possíveis efeitos, consulte Filas de Autorização para Segurança de Administração do Broker.
- Inicie o broker no WebSphere Message Broker Explorer, ou execute o comando
mqsistart.
- Verifique se o ID do usuário com o qual seu broker está em execução é membro do grupo de segurança do
WebSphere MQ, mqm. Sem essa autoridade, o broker não pode criar ou excluir as filas de autorização
para os grupos de execução no tempo de execução.
Como a autoridade mqm concede controle de acesso total a todos os
recursos do WebSphere MQ, talvez você não queira seu broker em execução com este
nível de autoridade.
Se não desejar que o broker seja executado com a autoridade
mqm, será necessário trabalhar com seu administrador do
WebSphere MQ para assegurar que as filas necessárias sejam criadas (e excluídas)
no momento apropriado.
Se desejar conceder ao seu broker a autoridade mqm:
- Em sistemas Linux e UNIX,
inclua no mqm o ID do usuário que iniciou o broker.
- Em sistemas Windows, inclua no mqm
o ID do usuário especificado como o ID do usuário do serviço. Quando você inclui esse ID do usuário, o mesmo nível de autoridade é concedido para todos os IDs de usuários definidos no mesmo grupo primário.
Portanto, é necessário controlar cuidadosamente suas associações ao grupo para assegurar que o acesso não
seja concedido aos IDs do usuário que não o requerem.
- No z/OS, conceda permissões equivalentes ao ID do usuário da tarefa
iniciada.
- Verifique também se o ID do usuário associado ao broker, definido na etapa anterior, possui a autoridade
altuser do WebSphere MQ. Esta autoridade é requerida pelo broker para solicitar que o WebSphere MQ
verifique autoridades.
Exibir entradas de registro para um broker usando mqsireportbroker brokerName.
A seguir: Conceda autoridade a usuários para refletir quais tarefas
você deseja que eles possam concluir, preenchendo as filas com os detalhes apropriados. Esta tarefa é descrita em
Autorizando Usuários para Administração.