Ein Sicherheitsprofil für LDAP (Lightweight Directory Access Protocol) oder LDAPS (Secure LDAP) können Sie über den Befehl mqsicreateconfigurableservice oder mithilfe eines Editors im WebSphere Message Broker Explorer erstellen.
Bevor Sie beginnen:
Wenn Ihr LDAP-Verzeichnis keine Anmeldung nicht erkannter Benutzer-IDs zulässt und keine Zugriffsrechte für die Suche im Unterverzeichnis erlaubt, müssen Sie außerdem eine separate autorisierte Anmelde-ID einrichten, die vom Broker für die Suche verwendet werden kann. Weitere Informationen hierzu finden Sie unter Autorisierung mit LDAP konfigurieren oder Authentifizierung mit LDAP konfigurieren.
Mit dem Befehl mqsicreateconfigurableservice können Sie ein Sicherheitsprofil erstellen, das LDAP für die Authentifizierung und/oder Berechtigung verwendet. Mit dem Sicherheitsprofil wird sichergestellt, dass jede Nachricht über eine authentifizierte ID verfügt und für den Nachrichtenfluss berechtigt ist.
mqsicreateconfigurableservice WBRK_BROKER -c SecurityProfiles -o LDAP
-n authentication,authenticationConfig,authorization,authorizationConfig,propagation,rejectBlankpassword
-v "LDAP,\"ldap://ldap.acme.com:389/ou=sales,o=acme.com\",LDAP,
\"ldap://ldap.acme.com:389/cn=All Sales,ou=acmegroups,o=acme.com\",TRUE,TRUE
Die LDAP-URL, die Kommas enthält, muss in Anführungszeichen gesetzt werden, denen Escapezeichen (\" und \") vorangestellt sind, damit die Kommas in der URL nicht mit Kommatrennzeichen der Wertparameter von mqsicreateconfigurableservice verwechselt werden.
Enthält die LDAP-URL einen Elementnamen mit Leerzeichen, wie in diesem Fall cn=All Sales, muss die Gruppe von Werten nach dem Flag -v in Anführungszeichen gesetzt werden (").
Weitere Informationen zur Befehlsstruktur finden Sie im Abschnitt mqsicreateconfigurableservice-Befehl.
Sie können die sicherheitsspezifischen Teile des Befehls wie folgt definieren:
ldap[s]://Server[:Port]/Basis-DN[?[Benutzer-ID-Attribut][?[base|sub]]]
Beispiel:
ldap://ldap.acme.com:389/ou=sales,o=acme.com
ldaps://localhost:636/ou=sales,o=acme?cn?base
ldap[s]://Server[:Port]/Gruppen-DN[?[Mitgliedsattribut][?[base|sub][?[x-userBaseDN=Basis-DN,x-uid_attr=Benutzer-ID-Attribut]]]]
Beispiel:
ldap://ldap.acme.com:389/cn=All Sales,ou=acmegroups,o=acme.com?uniquemember?sub?x-userBaseDN=ou=sales%2co=ibm.com,x-uid_attr=emailaddress
mqsicreateconfigurableservice WBRK_BROKER -c SecurityProfiles -o LDAP_URI_FUN
-n authentication,authenticationConfig,authorization,authorizationConfig -v
"LDAP,\"ldap://ldap.acme.com:389/ou=sales,o=acme.com?emailaddress?sub\",
LDAP,\"ldap://ldap.acme.com:389/cn=All Sales,ou=acmegroups,
o=acme.com?report?base?x-BaseDN=ou=sales%%2co=acme.com,x-uid_attr=emailaddress\""
Die ausgewählte Gruppe muss auf dem LDAP-Server definiert sein und alle erforderlichen Benutzer müssen Mitglied der Gruppe sein.
Aus den Werten, die Sie in den Feldern LDAP-Parameter eingeben, wird eine Konfigurationszeichenfolge erstellt, die im Feld Authentifizierungskonfiguration angezeigt wird. Informationen zu den gültigen Werten für die Parameter finden Sie im Abschnitt Sicherheitsprofil mit 'mqsicreateconfigurableservice' erstellen.
Aus dem Wert, den Sie im Feld TFIM-Konfiguration angeben, wird eine Konfigurationszeichenfolge erstellt, die im Feld Zuordnungskonfiguration angezeigt wird.
Aus den Werten, die Sie in den Feldern LDAP-Parameter eingeben, wird eine Konfigurationszeichenfolge erstellt, die im Feld Autorisierungskonfiguration angezeigt wird. Informationen zu den gültigen Werten für die Parameter finden Sie im Abschnitt Sicherheitsprofil mit 'mqsicreateconfigurableservice' erstellen.
Wenn Sie ein vorhandenes Sicherheitsprofil löschen möchten, wählen Sie das Profil in der Liste aus und klicken Sie anschließend auf Löschen.