WebSphere Message Broker, Versão 8.0.0.5 Sistemas operacionais: AIX, HP-Itanium, Linux, Solaris, Windows, z/OS

Consulte as informações sobre a versão mais recente do produto em IBM Integration Bus, Versão 9.0

Visão Geral da Segurança de Administração

A segurança de administração do broker controla os direitos de usuários para concluir tarefas administrativas para um broker e seus recursos.

A segurança de administração do broker é um recurso opcional do broker. Ao criar um broker, a configuração padrão é que a segurança de administração do broker não é ativada. É possível especificar um parâmetro adicional para ativar a segurança ao criar o broker. Também é possível alterar o status da segurança de administração do broker após a criação do broker, e, portanto, ativar ou desativá-la quando apropriado.

Quando tiver ativado a segurança de administração do broker, configure o controle de segurança registrando as permissões do WebSphere MQ para IDs de usuário específicos. As permissões são registradas nas seguintes filas de autorização que são definidas no gerenciador de filas do broker:

Ao criar um broker, a fila SYSTEM.BROKER.AUTH é criada. As autoridades read, write e execute são automaticamente concedidas ao grupo de usuários mqbrkrs nesta fila. Esta fila é criada mesmo que você não ative a segurança neste momento.

Se você ativar a segurança, o broker verificará as autorizações configuradas nesta fila quando receber um pedido que visualiza ou altera suas propriedades ou recursos. Se o ID de usuário associado com o pedido não for autorizado, o broker irá recusar o pedido.

Quando você cria um grupo de execução em um broker para o qual você ativou a segurança, a fila de autorização do grupo de execução SYSTEM.BROKER.AUTH.EG é criada, em que EG é o nome do grupo de execução. As autoridades read, write e execute são automaticamente concedidas ao grupo de usuários mqbrkrs nesta fila.

Se você estiver migrando do WebSphere Message Broker Versão 6.1, e usar Listas de Controle de Acesso (ACLs) definidas para o Configuration Manager, não será possível migrar as ACLs diretamente para as versões posteriores do WebSphere Message Broker. Revise a orientação fornecida em Migrando ACLs do Configuration Manager para entender como configurar a segurança usando as ACLs como base para a segurança em seu ambiente WebSphere Message Broker mais recente.

Consulte os seguintes tópicos para obter informações adicionais sobre permissões e filas:

Autorização no z/OS

No z/OS®, o WebSphere MQ usa o System Authorization Facility (SAF) para rotear pedidos para verificações de autoridade para um gerenciador de segurança externo (ESM) tal como o z/OS Security Server Resource Access Control Facility (RACF®). WebSphere MQ não faz verificação de autoridade de si mesmo. Todas as informações sobre a segurança de administração do broker no z/OS presumem que você esteja usando o RACF como seu ESM. Se estiver usando um ESM diferente, pode ser necessário interpretar as informações fornecidas para o RACF de uma maneira que seja relevante para seu ESM.

Se você estiver ativando a segurança no gerenciador de filas do WebSphere MQ no z/OS pela primeira vez, deverá configurar os perfis ou outros recursos que são necessários para seu ESM acessar filas. Também é necessário verificar se o gerenciador de filas está configurado para acessar os perfis de segurança na classe correta; MQQUEUE para os nomes de filas em maiúsculas e MXQUEUE para nomes de filas compostos por maiúsculas e minúsculas.

Para obter informações adicionais sobre a segurança do gerenciador de filas e perfis de segurança, consulte as seções do Guia de Configuração do Sistema z/OS e Guia de Configuração do Sistema z/OS do Centro de Informações Online do WebSphere MQ Versão 7.

Verificando a Autoridade

Se você tiver ativado a segurança de administração do broker, todas as ações executadas por usuários das seguintes interfaces estarão sujeitas à verificação de autoridade:

Os usuários do WebSphere Message Broker Explorer e do WebSphere Message Broker Toolkit que não possuem as autoridades read, write e execute para o broker ou grupos de execução possuem apenas acesso restrito a esses recursos. Um ícone é exibido em relação a cada recurso para indicar que a autoridade do usuário é restrita. As ações que um usuário pode solicitar com relação a um recurso que são determinadas pela autoridade restrita que está em vigor para esse usuário.

Persistência de Autoridade

Se um ID de usuário receber autoridade para acessar um broker, o acesso é retido pelo menos até que a conexão ou sessão atual seja finalizada por um dos seguintes eventos:

Mesmo se você atualizar ou remover a autoridade para este ID de usuário, a autorização não é alterada enquanto a conexão está ativa.

Entretanto, a autorização é sempre verificada para operações com relação aos grupos de execução e fluxos de mensagens; se você alterar ou remover a autorização para um ID de usuário em um grupo de execução, os pedidos subsequentes na conexão atual poderão falhar.

Segurança de Administração Adicional

Em seu ambiente, uma verificação no ID do usuário que está fazendo um pedido pode não fornecer um nível de segurança suficiente. Se você precisar de uma solução mais segura, uma ou duas das seguintes opções estão disponíveis:

Avisos | Marcas Registradas | Downloads | Biblioteca | Suporte | Feedback

Copyright IBM Corporation 1999, 2014Copyright IBM Corporation 1999, 2014.

        
        Última atualização:
        
        Última atualização: 2015-02-28 18:31:43


Tópico de ConceitoTópico de Conceito | Versão 8.0.0.5 | bp43500_