WebSphere Message Broker, Versão 8.0.0.5 Sistemas operacionais: AIX, HP-Itanium, Linux, Solaris, Windows, z/OS

Consulte as informações sobre a versão mais recente do produto em IBM Integration Bus, Versão 9.0

Considerando a Segurança para um Broker

Considere vários fatores quando estiver decidindo quais usuários podem executar comandos do broker e quais usuários podem controlar a segurança para outros recursos do broker.

Embora a maior parte da segurança para o broker e para recursos do broker seja opcional, talvez você ache apropriado restringir as tarefas que alguns IDs de usuário podem executar. É possível, então, aplicar maior controle para monitorar as alterações.

É possível controlar todas as tarefas de administração do broker ativando a segurança de administração do broker ao criar um broker. Também é possível alterar brokers existentes para ativar a segurança de administração. Esta opção é descrita em Configurando a Segurança de Administração e é independente das opções descritas nesta seção.

Quando você está decidindo quais usuários devem desempenhar as diferentes tarefas, considere as seguintes etapas:

  1. Decidindo Qual Conta de Usuário Utilizar para o ID de Serviço do Broker
  2. Configurando a Segurança nas Filas do Broker
  3. Protegendo o Registro do Broker

Decidindo Qual Conta de Usuário Utilizar para o ID de Serviço do Broker

Em um sistema operacional Linux ou UNIX, quando você executa o comando mqsistart com um ID de usuário que seja membro dos grupos mqm e mqbrkrs, o ID do usuário sob o qual você executa o comando mqsistart torna-se o ID do usuário que o processo do componente do broker executa.

Na plataforma Windows, o broker executa em uma conta do usuário de serviço. Para decidir que ID de usuário usar para o ID de serviço do broker, responda as seguintes perguntas:

  1. Deseja que seu broker seja executado em uma conta local do Windows?
    1. Não: Vá para a próxima pergunta.
    2. Sim: Assegure que seu ID do usuário tenha as seguintes características:
      • Esteja definido em seu domínio local.
      • Ele é um membro do grupo mqbrkrs.

      Vá para Configurando a Segurança nas Filas do Broker.

  2. Deseja que seu broker seja executado em uma conta de domínio do Windows?
    1. Não: Vá para a próxima pergunta.
    2. Sim: Suponha que seu computador chamado, por exemplo, WKSTN1, é um membro de um domínio chamado DOMAIN1. Quando você executar um broker utilizando, por exemplo, DOMAIN1\user1, assegure-se que:
      • Seu ID de usuário tenha recebido o privilégio Efetuar Logon como um Serviço (da Política de Segurança Local).
      • DOMAIN1\user1 é um membro do grupo DOMAIN1\MyDomainGroup, em que MyDomainGroup é um grupo de domínios definido no controlador de domínio.
      • DOMAIN1\MyDomainGroup é um membro de WKSTN1\mqbrkrs.

      Vá para Configurando a Segurança nas Filas do Broker.

  3. Deseja que seu broker execute na conta Windows construído no LocalSystem?
    1. Sim: Especifique LocalSystem para o parâmetro -i no comando mqsicreatebroker ou mqsichangebroker.

      Em qualquer dos casos, é necessário inserir o parâmetro -a (senha) na linha de comandos, mas o valor inserido será ignorado.

      Vá para Configurando a Segurança nas Filas do Broker.

Observe que, para os casos um e dois acima, o ID de usuário escolhido deve receber o privilégio Efetuar Logon como um Serviço.

Normalmente, isso é feito de forma automática pelo comando mqsichangebroker ou pelo comando mqsichangeproperties quando for especificado um ID de usuário de serviço que não possua esse privilégio.

Entretanto, se desejar fazer isso manualmente antes de executar esses comandos, é possível fazer isso usando a ferramenta Política de Segurança Local no Windows, que você pode acessar selecionando Painel de Controle > Desempenho e manutenção > Ferramentas administrativas > Política de Segurança Local.

Configurando a Segurança nas Filas do Broker

Quando você executar o comando mqsicreatebroker, o grupo mqbrkrs local receberá acesso às filas internas cujos nomes comecem com os caracteres SYSTEM.BROKER.

Protegendo o Registro do Broker

A operação do broker depende das informações no registro do broker, que você deve proteger contra distorção acidental. O registro do broker é armazenado no sistema de arquivos. Configure suas opções de segurança do sistema operacional para que apenas IDs do usuário que são membros do grupo mqbrkrs possam ler a partir de ou gravar no brokername/CurrentVersion e em todas as subchaves.

Avisos | Marcas Registradas | Downloads | Biblioteca | Suporte | Feedback

Copyright IBM Corporation 1999, 2014Copyright IBM Corporation 1999, 2014.

        
        Última atualização:
        
        Última atualização: 2015-02-28 18:30:14


Tópico de TarefaTópico de Tarefa | Versão 8.0.0.5 | ap03982_