Crie um perfil de segurança para usar com o protocolo LDAP ou o Secure LDAP (LDAPS), usando o comando mqsicreateconfigurableservice ou um editor no WebSphere Message Broker Explorer.
Antes de começar:
Se seu diretório LDAP não permitir login por IDs do usuário não reconhecidos, e não conceder direitos de acesso de procura na subárvore, você também deverá configurar um ID de login autorizado separado que o broker possa usar para a procura. Para obter informações sobre como fazer isto, consulte Configurando Autorização com LDAP or Configurando Autenticação com LDAP.
Você pode utilizar o comando mqsicreateconfigurableservice para criar um perfil de segurança que utiliza o LDAP para autenticação, autorização ou ambas. O perfil de segurança assegura que cada mensagem tenha um ID autenticado e seja autorizada para o fluxo de mensagens.
mqsicreateconfigurableservice WBRK_BROKER -c SecurityProfiles -o LDAP
-n authentication,authenticationConfig,authorization,authorizationConfig,propagation,rejectBlankpassword
-v "LDAP,\"ldap://ldap.acme.com:389/ou=sales,o=acme.com\",LDAP,
\"ldap://ldap.acme.com:389/cn=All Sales,ou=acmegroups,o=acme.com\",TRUE,TRUE
É mecessário colocar a URL do LDAP (que contém vírgulas) entre aspas duplas de escape (\" e \") para que as vírgulas da URL não sejam confundidas com o separador de vírgula do parâmetro de valor do mqsicreateconfigurableservice.
Se a URL de LDAP incluir um nome de elemento com um espaço, neste caso cn=All Sales, o conjunto de valores após o sinalizador -v deverá ser colocado entre aspas duplas, (")
Para obter informações adicionais sobre a estrutura do comando, consulte Comando mqsicreateconfigurableservice.
Você pode definir as partes específicas de segurança do comando da seguinte maneira:
ldap[s]://server[:port]/baseDN[?[uid_attr][?[base|sub]]]
Por Exemplo:
ldap://ldap.acme.com:389/ou=sales,o=acme.com
ldaps://localhost:636/ou=sales,o=acme?cn?base
ldap[s]://server[:port]/groupDN[?[member_attr]
[?[base|sub][?[x-userBaseDN=baseDN,
x-uid_attr=uid_attr]]]]
Por Exemplo:
ldap://ldap.acme.com:389/cn=All Sales,ou=acmegroups,
o=acme.com?uniquemember?sub?x-userBaseDN=ou=sales%2co=ibm.com,
x-uid_attr=emailaddress
mqsicreateconfigurableservice WBRK_BROKER -c SecurityProfiles -o LDAP_URI_FUN
-n authentication,authenticationConfig,authorization,authorizationConfig -v
"LDAP,\"ldap://ldap.acme.com:389/ou=sales,o=acme.com?emailaddress?sub\",
LDAP,\"ldap://ldap.acme.com:389/cn=All Sales,ou=acmegroups,
o=acme.com?report?base?x-BaseDN=ou=sales%%2co=acme.com,
x-uid_attr=emailaddress\""
O grupo selecionado deve ser definido no servidor LDAP e todos os usuários necessários deverão ser membros do grupo.
Os valores digitados nos campos Parâmetros LDAP, crie uma cadeia de configuração, que é exibida no campo Configuração de Autenticação. Para obter informações sobre os valores válidos para os parâmetros, consulte Criando um Perfil de Segurança Utilizando mqsicreateconfigurableservice.
O valor especificado para o campo Configuração do TFIM cria uma cadeia de configuração, que é exibida no campo Configuração de Mapeamento.
Os valores digitados nos campos Parâmetros LDAP, crie uma cadeia de configuração, que é exibida no campo Configuração de Autorização. Para obter informações sobre os valores válidos para os parâmetros, consulte Criando um Perfil de Segurança Utilizando mqsicreateconfigurableservice.
Para excluir um perfil de segurança existente, selecione o perfil na lista e, em seguida, clique em Excluir.