WebSphere Message Broker, Versão 8.0.0.5 Sistemas operacionais: AIX, HP-Itanium, Linux, Solaris, Windows, z/OS

Consulte as informações sobre a versão mais recente do produto em IBM Integration Bus, Versão 9.0

Criando um Perfil de Segurança para LDAP

Crie um perfil de segurança para usar com o protocolo LDAP ou o Secure LDAP (LDAPS), usando o comando mqsicreateconfigurableservice ou um editor no WebSphere Message Broker Explorer.

Antes de começar:

Certifique-se de que tenha um servidor LDAP que seja compatível com o LDAP Versão 3, por exemplo:
  • IBM® Tivoli Directory Server
  • Microsoft Active Directory
  • OpenLDAP.

Se seu diretório LDAP não permitir login por IDs do usuário não reconhecidos, e não conceder direitos de acesso de procura na subárvore, você também deverá configurar um ID de login autorizado separado que o broker possa usar para a procura. Para obter informações sobre como fazer isto, consulte Configurando Autorização com LDAP or Configurando Autenticação com LDAP.

Criando um Perfil de Segurança Utilizando mqsicreateconfigurableservice

Você pode utilizar o comando mqsicreateconfigurableservice para criar um perfil de segurança que utiliza o LDAP para autenticação, autorização ou ambas. O perfil de segurança assegura que cada mensagem tenha um ID autenticado e seja autorizada para o fluxo de mensagens.

  1. Abra uma janela de comandos configurada para seu ambiente.
  2. Insira o comando mqsicreateconfigurableservice na linha de comandos. Exemplo:
    mqsicreateconfigurableservice WBRK_BROKER -c SecurityProfiles -o LDAP
    -n authentication,authenticationConfig,authorization,authorizationConfig,propagation,rejectBlankpassword
    -v "LDAP,\"ldap://ldap.acme.com:389/ou=sales,o=acme.com\",LDAP,
    \"ldap://ldap.acme.com:389/cn=All Sales,ou=acmegroups,o=acme.com\",TRUE,TRUE

    É mecessário colocar a URL do LDAP (que contém vírgulas) entre aspas duplas de escape (\" e \") para que as vírgulas da URL não sejam confundidas com o separador de vírgula do parâmetro de valor do mqsicreateconfigurableservice.

    Se a URL de LDAP incluir um nome de elemento com um espaço, neste caso cn=All Sales, o conjunto de valores após o sinalizador -v deverá ser colocado entre aspas duplas, (")

    Para obter informações adicionais sobre a estrutura do comando, consulte Comando mqsicreateconfigurableservice.

    Você pode definir as partes específicas de segurança do comando da seguinte maneira:

    1. Configure a autenticação para LDAP. Isso assegura que a identidade de entrada seja validada.
    2. Configure authenticationConfig utilizando a seguinte sintaxe:
      ldap[s]://server[:port]/baseDN[?[uid_attr][?[base|sub]]]

      Por Exemplo:

      ldap://ldap.acme.com:389/ou=sales,o=acme.com
      ldaps://localhost:636/ou=sales,o=acme?cn?base
      ldap:
      (Necessário) Cadeia do protocolo fixada.
      s:
      (Opcional) Especifica se SSL deve ser usado. O padrão é não utilizar SSL.
      servidor :
      (Necessário) O nome ou endereço IP do servidor LDAP a contatar.
      porta:
      (Opcional) A porta à qual se conectar. O padrão é 389 (não SSL). Para servidores LDAP com SSL ativado, a porta geralmente é 636.
      baseDN
      (Necessário) Cadeia definindo o nome distinto (DN) de base de todos os usuários no diretório. Se existir usuários em diferentes subárvores, especifique uma subárvore comum na qual uma procura no nome do usuário resolve exclusivamente a entrada do usuário necessário e configure o atributo sub.
      uid_attr:
      (Opcional) Cadeia definindo o atributo para o qual o nome de usuário recebido é mapeado, normalmente uid, CN ou endereço de e-mail. O padrão é uid.
      base|sub:
      (Opcional) Define se deve executar uma procura de base ou de subárvore. Se base for definida, a autenticação será mais rápida porque o DN do usuário poderá ser construído a partir dos valores uid_att, username e baseDN. Se sub for selecionado, será necessário desempenhar uma procura antes da resolução do DN. O padrão é sub.
    3. Configure a autorização para LDAP. Isso assegura que a identidade de entrada seja verificada para associação de grupo no LDAP.
    4. Configure authorizationConfig utilizando a seguinte sintaxe:
      ldap[s]://server[:port]/groupDN[?[member_attr]
      [?[base|sub][?[x-userBaseDN=baseDN,
      x-uid_attr=uid_attr]]]]

      Por Exemplo:

      ldap://ldap.acme.com:389/cn=All Sales,ou=acmegroups,
      o=acme.com?uniquemember?sub?x-userBaseDN=ou=sales%2co=ibm.com,
      x-uid_attr=emailaddress
      ldap:
      (Necessário) Cadeia de protocolo fixada
      s:
      (Opcional) Especifica se SSL é usado. O padrão é não utilizar SSL.
      servidor :
      (Necessário) O nome ou endereço IP do servidor LDAP a contatar.
      porta:
      (Opcional) A porta à qual se conectar. O padrão é 389 (não SSL). Para servidores LDAP com SSL ativado, a porta geralmente é 636.
      groupDN
      (Necessário) Nome distinto definido completamente do grupo no qual usuários devem ser membros para terem acesso concedido.
      member_attr:
      (Opcional) O atributo do grupo usado para filtrar a procura. O padrão é procurar os atributos member e uniquemember.
      As opções a seguir serão necessárias apenas se a autenticação não tiver precedido a autorização e se a cadeia de configuração de autenticação não tiver sido especificada. Se a cadeia de configuração de autenticação tiver sido especificada, os seguintes parâmetros serão ignorados e os fornecidos por baseDN, uid_attr, e [base|sub] para autenticação serão usados em substituição:
      base|sub:
      (Opcional) Define se deve executar uma procura de base ou de subárvore. Se base estiver definido, a autenticação será mais rápida, porque o DN do usuário pode ser construído a partir de uid_att + username + baseDN. Se sub for selecionado, será necessário desempenhar uma procura antes da resolução do DN. O padrão é sub.
      baseDN
      (Opcional) Cadeia definindo o nome distinto de base de todos os usuários no diretório. Deve ser precedido pela cadeia x-userBaseDN. As vírgulas no BaseDN devem ser renderizadas como %2c.
      x-uid_attr:
      (Opcional) Cadeia definindo o atributo para o qual o nome de usuário recebido deve mapear, geralmente uid, CN ou endereço de e-mail. O padrão é uid. Deve ser precedido pela cadeia x-uid_attr.
    Quando você enviar o comando a partir de um arquivo de lote (.bat) ou arquivo de comando (.cmd), se a URL do LDAP incluir uma extensão com caracteres de escape "percent hex hex" da URL de LDAP (por exemplo, uma vírgula substituída por %2c, ou um espaço substituído por %20), os sinais de porcentagem deverão ser escapados do interpretador de lote com um sinal de porcentagem extra (%%). Por Exemplo:
    mqsicreateconfigurableservice WBRK_BROKER -c SecurityProfiles -o LDAP_URI_FUN 
    -n authentication,authenticationConfig,authorization,authorizationConfig -v
    "LDAP,\"ldap://ldap.acme.com:389/ou=sales,o=acme.com?emailaddress?sub\",
    LDAP,\"ldap://ldap.acme.com:389/cn=All Sales,ou=acmegroups,
    o=acme.com?report?base?x-BaseDN=ou=sales%%2co=acme.com,
    x-uid_attr=emailaddress\""

    O grupo selecionado deve ser definido no servidor LDAP e todos os usuários necessários deverão ser membros do grupo.

  3. Se você precisar reconfigurar o perfil de segurança após ele ter sido criado, use o comando mqsichangeproperties. Você deve parar e iniciar o grupo de execução para que a mudança do valor da propriedade tenha efeito.

Criando um Perfil de Segurança Usando o WebSphere Message Broker Explorer

É possível usar o WebSphere Message Broker Explorer para criar um perfil de segurança para o LDAP.
  1. No WebSphere Message Broker Explorer, clique com o botão direito do mouse no broker com o qual deseja trabalhar e clique em Propriedades.
  2. No janela Propriedades, selecione a guia Segurança e clique em Perfis de Segurança. A janela Perfis de Segurança é exibida, contendo uma lista de perfis de segurança existentes para o broker à esquerda e uma área de janela na qual você pode configurar o perfil à direita.
  3. Clique em Incluir para criar um novo perfil e incluí-lo na lista. Você pode editar o nome do perfil de segurança, realçando-o na lista e pressionando F2.
  4. Configure o perfil de segurança utilizando os campos de entrada do lado direito da área de janela:
    1. Selecione o tipo de Autenticação necessário. Isto pode ser LDAP, TFIM ou NONE.
    2. Se você tiver selecionado LDAP para autenticação, edite os seguintes campos na seção Parâmetros LDAP:
      • Host LDAP
      • baseDN LDAP
      • uid attr LDAP
      • Escopo de Procura LDAP

      Os valores digitados nos campos Parâmetros LDAP, crie uma cadeia de configuração, que é exibida no campo Configuração de Autenticação. Para obter informações sobre os valores válidos para os parâmetros, consulte Criando um Perfil de Segurança Utilizando mqsicreateconfigurableservice.

    3. Selecione o tipo de Mapeamento necessário. Isto pode ser TFIM ou NONE.
    4. Se você tiver selecionado TFIM para mapeamento, digite a URL do servidor TFIM no campo Configuração do TFIM na seção Parâmetros do TFIM.

      O valor especificado para o campo Configuração do TFIM cria uma cadeia de configuração, que é exibida no campo Configuração de Mapeamento.

    5. Selecione o tipo de Autorização necessário. Isto pode ser LDAP, TFIM ou NONE.
    6. Se você tiver selecionado LDAP para autorização, edite os seguintes campos na seção Parâmetros LDAP:
      • Host LDAP
      • baseDN LDAP
      • uid attr LDAP
      • Escopo de Procura LDAP
      • baseDN do grupo LDAP
      • Membro do grupo LDAP.

      Os valores digitados nos campos Parâmetros LDAP, crie uma cadeia de configuração, que é exibida no campo Configuração de Autorização. Para obter informações sobre os valores válidos para os parâmetros, consulte Criando um Perfil de Segurança Utilizando mqsicreateconfigurableservice.

    7. No campo Propagação, especifique se você requer que a identidade seja propagada. O padrão é Falso.
    8. No campo Rejeitar Senha Vazia, especifique se você deseja que o gerenciador de segurança rejeite um nome de usuário que tenha um token de senha vazio, sem transmiti-lo ao LDAP. O padrão é False, que significa que um nome de usuário é transmitido para LDAP mesmo quando existe um token de senha vazio.
    9. No campo Valor da Senha, selecione a maneira na qual a senha é exibida na pasta de propriedades. As opções são:
      PLAIN
      A senha aparece na pasta Propriedades como texto simples.
      OBFUSCATE
      A senha aparece na pasta Propriedades como codificação base64.
      MASK
      A senha aparece na pasta Propriedades como quatro asteriscos (****).
  5. Clique em Concluir para implementar o perfil de segurança no intermediário.

Para excluir um perfil de segurança existente, selecione o perfil na lista e, em seguida, clique em Excluir.

Avisos | Marcas Registradas | Downloads | Biblioteca | Suporte | Feedback

Copyright IBM Corporation 1999, 2014Copyright IBM Corporation 1999, 2014.

        
        Última atualização:
        
        Última atualização: 2015-02-28 18:30:15


Tópico de TarefaTópico de Tarefa | Versão 8.0.0.5 | ap04141_