A segurança de administração do broker controla os direitos de usuários para concluir tarefas administrativas para um broker e seus recursos.
A segurança de administração do broker é um recurso opcional do broker. Ao criar um broker, a configuração padrão é que a segurança de administração do broker não é ativada. É possível especificar um parâmetro adicional para ativar a segurança ao criar o broker. Também é possível alterar o status da segurança de administração do broker após a criação do broker, e, portanto, ativar ou desativá-la quando apropriado.
Quando tiver ativado a segurança de administração do broker, configure o controle de segurança registrando as permissões do WebSphere MQ para IDs de usuário específicos. As permissões são registradas nas seguintes filas de autorização que são definidas no gerenciador de filas do broker:
Ao criar um broker, a fila SYSTEM.BROKER.AUTH é criada. As autoridades read, write e execute são automaticamente concedidas ao grupo de usuários mqbrkrs nesta fila. Esta fila é criada mesmo que você não ative a segurança neste momento.
Se você ativar a segurança, o broker verificará as autorizações configuradas nesta fila quando receber um pedido que visualiza ou altera suas propriedades ou recursos. Se o ID de usuário associado com o pedido não for autorizado, o broker irá recusar o pedido.
Quando você cria um grupo de execução em um broker para o qual você ativou a segurança, a fila de autorização do grupo de execução SYSTEM.BROKER.AUTH.EG é criada, em que EG é o nome do grupo de execução. As autoridades read, write e execute são automaticamente concedidas ao grupo de usuários mqbrkrs nesta fila.
Se você estiver migrando do WebSphere Message Broker Versão 6.1, e usar Listas de Controle de Acesso (ACLs) definidas para o Configuration Manager, não será possível migrar as ACLs diretamente para as versões posteriores do WebSphere Message Broker. Revise a orientação fornecida em Migrando ACLs do Configuration Manager para entender como configurar a segurança usando as ACLs como base para a segurança em seu ambiente WebSphere Message Broker mais recente.
Consulte os seguintes tópicos para obter informações adicionais sobre permissões e filas:
No z/OS®, o WebSphere MQ usa o System Authorization Facility (SAF) para rotear pedidos para verificações de autoridade para um gerenciador de segurança externo (ESM) tal como o z/OS Security Server Resource Access Control Facility (RACF®). WebSphere MQ não faz verificação de autoridade de si mesmo. Todas as informações sobre a segurança de administração do broker no z/OS presumem que você esteja usando o RACF como seu ESM. Se estiver usando um ESM diferente, pode ser necessário interpretar as informações fornecidas para o RACF de uma maneira que seja relevante para seu ESM.
Se você estiver ativando a segurança no gerenciador de filas do WebSphere MQ no z/OS pela primeira vez, deverá configurar os perfis ou outros recursos que são necessários para seu ESM acessar filas. Também é necessário verificar se o gerenciador de filas está configurado para acessar os perfis de segurança na classe correta; MQQUEUE para os nomes de filas em maiúsculas e MXQUEUE para nomes de filas compostos por maiúsculas e minúsculas.
Para obter informações adicionais sobre a segurança do gerenciador de filas e perfis de segurança, consulte as seções do Guia de Configuração do Sistema z/OS e Guia de Configuração do Sistema z/OS do Centro de Informações Online do WebSphere MQ Versão 7.
Se você tiver ativado a segurança de administração do broker, todas as ações executadas por usuários das seguintes interfaces estarão sujeitas à verificação de autoridade:
Para obter autorização adicional necessária para estes comandos, consulte Comandos e Autorizações para Segurança de Administração do Broker.
É possível executar todos os comandos que não estão informados aqui apenas no computador no qual o broker está em execução. Seu ID do usuário, ou o ID sob o qual o broker está em execução, deve ser um membro do grupo de segurança mqbrkrs quando você executar os comandos não-listados. Cada tópico de comando descreve a autoridade necessária.
Os usuários do WebSphere Message Broker Explorer e do WebSphere Message Broker Toolkit que não possuem as autoridades read, write e execute para o broker ou grupos de execução possuem apenas acesso restrito a esses recursos. Um ícone é exibido em relação a cada recurso para indicar que a autoridade do usuário é restrita. As ações que um usuário pode solicitar com relação a um recurso que são determinadas pela autoridade restrita que está em vigor para esse usuário.
Se um ID de usuário receber autoridade para acessar um broker, o acesso é retido pelo menos até que a conexão ou sessão atual seja finalizada por um dos seguintes eventos:
Mesmo se você atualizar ou remover a autoridade para este ID de usuário, a autorização não é alterada enquanto a conexão está ativa.
Entretanto, a autorização é sempre verificada para operações com relação aos grupos de execução e fluxos de mensagens; se você alterar ou remover a autorização para um ID de usuário em um grupo de execução, os pedidos subsequentes na conexão atual poderão falhar.
Em seu ambiente, uma verificação no ID do usuário que está fazendo um pedido pode não fornecer um nível de segurança suficiente. Se você precisar de uma solução mais segura, uma ou duas das seguintes opções estão disponíveis: