WebSphere Message Broker Version 8.0.0.5 Betriebssysteme: AIX, HP-Itanium, Linux, Solaris, Windows, z/OS

Sehen Sie sich die Informationen zur aktuellen Produktversion im IBM Integration Bus Version 9.0 an.

Übersicht über die Verwaltungssicherheit

Über die Sicherheit der Brokerverwaltung werden die Berechtigungen der Benutzer zur Ausführung von Verwaltungsaufgaben für einen Broker und dessen Ressourcen gesteuert.

Die Sicherheitsfunktion der Brokerverwaltung ist eine optionale Komponente des Brokers. Bei der Erstellung eines Brokers ist die Sicherheitsfunktion der Brokerverwaltung standardmäßig nicht aktiviert. Sie können einen zusätzlichen Parameter angeben, damit die Sicherheit bei der Erstellung des Brokers aktiviert wird. Sie können den Status der Brokerverwaltungssicherheit auch nach der Erstellung des Brokers ändern und diese so bei Bedarf aktivieren oder inaktivieren.

Wenn Sie die Sicherheit der Brokerverwaltung aktiviert haben, richten Sie die Sicherheitssteuerung ein, indem Sie für bestimmte Benutzer-IDs WebSphere MQ-Berechtigungen einrichten. Berechtigungen werden in den folgenden Berechtigungswarteschlangen erfasst, die auf dem Broker-WS-Manager definiert sind:

Wenn Sie einen Broker erstellen, wird die Warteschlange SYSTEM.BROKER.AUTH erstellt. Die Benutzergruppe mqbrkrs erhält automatisch Lese-, Schreib- und Ausführungsberechtigungen für diese Warteschlange. Diese Warteschlange wird auch erstellt, wenn Sie die Sicherheit zu diesem Zeitpunkt nicht aktivieren.

Wenn Sie die Sicherheit aktivieren, überprüft der Broker die Berechtigungen, die Sie für diese Warteschlange eingerichtet haben, wenn er eine Anforderung für die Anzeige oder Änderung seiner Eigenschaften oder Ressourcen empfängt. Falls die der Anforderung zugeordnete Benutzer-ID nicht berechtigt ist, lehnt der Broker die Anforderung ab.

Wenn Sie eine Ausführungsgruppe auf einem Broker erstellen, für den Sie die Sicherheit aktiviert haben, wird die Berechtigungswarteschlange SYSTEM.BROKER.AUTH.AG für Ausführungsgruppen erstellt. Dabei steht EG für den Namen der Ausführungsgruppe. Die Benutzergruppe mqbrkrs erhält automatisch Lese-, Schreib- und Ausführungsberechtigungen für diese Warteschlange.

Wenn Sie von WebSphere Message Broker Version 6.1 migrieren und die Zugriffssteuerungslisten verwenden, die Sie für den Konfigurationsmanager definieren, können Sie Ihre Zugriffssteuerungslisten nicht direkt auf höhere Versionen von WebSphere Message Broker migrieren. Lesen Sie die Anleitung im Abschnitt Zugriffssteuerungslisten für Konfigurationsmanager migrieren, die die Vorgehensweise für die Einrichtung der Sicherheit mithilfe von Zugriffssteuerungslisten als Basis für die Sicherheit in Ihrer höheren WebSphere Message Broker-Umgebung beschreibt.

Weitere Informationen zu Berechtigungen und Warteschlange finden Sie in den folgenden Abschnitten:

Berechtigung unter z/OS

Unter z/OS leitet WebSphere MQ mithilfe der SAF-Komponente (System Authorization Facility) Anforderungen auf Berechtigungsprüfungen an einen externen Sicherheitsmanager wie z/OS Security Server Resource Access Control Facility (RACF) weiter. WebSphere MQ selbst führt keine Berechtigungsprüfungen durch. Bei allen Informationen zur Sicherheit der Brokerverwaltung unter z/OS wird davon ausgegangen, dass Sie RACF als externen Sicherheitsmanager verwenden. Verwenden Sie einen anderen externen Sicherheitsmanager, müssen Sie die für RACF bereitgestellten Informationen entsprechend dem von Ihnen verwendeten externen Sicherheitsmanager anpassen.

Wenn Sie die Sicherheit auf dem WebSphere MQ-Warteschlangenmanager unter z/OS zum ersten Mal aktivieren, müssen Sie die Profile und alle weiteren Ressourcen konfigurieren, die der externe Sicherheitsmanager für den Zugriff auf Warteschlangen benötigt. Außerdem müssen Sie überprüfen, ob der WS-Manager so konfiguriert ist, dass er auf die Sicherheitsprofile in der korrekten Klasse zugreift (MQQUEUE für Warteschlangennamen mit Großbuchstaben, MXQUEUE für Warteschlangennamen mit Groß- und Kleinbuchstaben).

Weitere Informationen zur WS-Managersicherheit und zu Sicherheitsprofilen finden Sie in den Bereichen z/OS System Administration Guide und z/OS System Setup Guide im WebSphere MQ Version 7 Information Center online.

Berechtigungsprüfung

Wenn Sie die Sicherheit der Brokerverwaltung aktiviert haben, unterliegen alle Aktionen, die von den Benutzern der folgenden Schnittstellen ausgeführt werden, einer Berechtigungsprüfung:

Benutzer des WebSphere Message Broker Explorer und des WebSphere Message Broker Toolkits, die keine Lese-, Schreib- und Ausführungsberechtigung für den Broker oder die Ausführungsgruppen besitzen, haben nur eingeschränkten Zugriff auf diese Ressourcen. Es wird ein Symbol für jede Ressource angezeigt, das angibt, dass die Benutzerberechtigung eingeschränkt ist. Die Aktionen, die der Benutzer für eine Ressource anfordern kann, werden durch die eingeschränkte Berechtigung festgelegt, die für diesen Benutzer gilt.

Berechtigungspermanenz

Wenn einer Benutzer-ID die Zugriffsberechtigung für einen Broker erteilt wird, wird der Zugriff mindestens so lange beibehalten, bis die aktuelle Verbindung oder Sitzung durch eines der folgenden Ereignisse beendet wird:

Auch wenn Sie die Berechtigung für diese Benutzer-ID aktualisieren oder entfernen, ändert sich die Berechtigung nicht, während die Verbindung aktiv ist.

Die Berechtigung wird jedoch für Operationen für Ausführungsgruppen und Nachrichtenflüsse immer überprüft. Wenn Sie die Berechtigung für eine Benutzer-ID für eine Ausführungsgruppe ändern oder entfernen, schlagen nachfolgende Anforderungen in der aktuellen Verbindung möglicherweise fehl.

Zusätzliche Verwaltungssicherheit

In Ihrer Umgebung stellt die Überprüfung der Benutzer-ID, die eine Anforderung sendet, möglicherweise keine ausreichende Sicherheitsstufe dar. Wenn Sie eine sicherere Lösung benötigen, steht Ihnen mindestens eine der beiden folgenden Optionen zur Verfügung:

Bemerkungen | Marken | Downloads | Bibliothek | Support | Feedback

Copyright IBM Corporation 1999, 2014Copyright IBM Corporation 1999, 2014.

        
        Letzte Aktualisierung:
        
        Letzte Aktualisierung: 2015-02-28 16:23:19


KonzeptthemaKonzeptthema | Version 8.0.0.5 | bp43500_