WebSphere Message Broker Version 8.0.0.5 Betriebssysteme: AIX, HP-Itanium, Linux, Solaris, Windows, z/OS

Sehen Sie sich die Informationen zur aktuellen Produktversion im IBM Integration Bus Version 9.0 an.

Sicherheitsüberlegungen bei Brokern

Bei der Entscheidung, welche Benutzer Brokerbefehle ausführen und welche Benutzer die Sicherheit für andere Brokerressourcen steuern können, müssen mehrere Faktoren berücksichtigt werden.

Obwohl die meisten Sicherheitseinrichtungen für Broker und Brokerressourcen optional sind, kann es sinnvoll sein, die möglichen Aufgaben für einige Benutzer-IDs einzuschränken. Dadurch können Sie haben Sie eine bessere Kontrolle zur Überwachung von Änderungen.

Sie können alle Verwaltungsaufgaben eines Brokers kontrollieren, indem Sie bei seiner Erstellung die Brokerverwaltungssicherheit aktivieren. Außerdem können Sie vorhandene Broker ändern, um die Verwaltungssicherheit zu aktivieren. Diese Option wird in Verwaltungssicherheit einrichten beschrieben und ist abhängig von den hier beschriebenen Optionen.

Beachten Sie bei der Auswahl, welche Benutzer zur Ausführung der verschiedenen Tasks berechtigt sind, die folgenden Schritte:

  1. Benutzeraccounts für die Verwendung der Service-ID des Brokers berechtigen
  2. Sicherheit für die Brokerwarteschlangen einrichten
  3. Brokerregister schützen

Benutzeraccounts für die Verwendung der Service-ID des Brokers berechtigen

Wenn Sie den Befehl mqsistart auf einem Linux- oder UNIX-Betriebssystem mit einer Benutzer-ID ausführen, die zu den Gruppen mqm und mqbrkrs gehört, wird die Benutzer-ID, unter der Sie den Befehl mqsistart ausführen, die Benutzer-ID, unter der der Prozess der Brokerkomponente ausgeführt wird.

Auf der Windows-Plattform wird der Broker unter einem Servicebenutzer-Account ausgeführt. Zur Auswahl der Benutzer-ID für die Verwendung der Service-ID des Brokers müssen Sie die folgenden Fragen beantworten:

  1. Soll Ihr Broker unter einem lokalen Windows-Benutzerkonto ausgeführt werden?
    1. Nein: Weiter mit der nächsten Frage.
    2. Ja: Stellen Sie sicher, dass Ihre Benutzer-ID über die folgenden Kenndaten verfügt:
      • Sie ist in Ihrer lokalen Domäne definiert.
      • Sie ist Mitglied der Gruppe mqbrkrs.

      Weitere Informationen finden Sie unter Sicherheit für die Brokerwarteschlangen einrichten.

  2. Soll Ihr Broker unter einem Windows-Domänenkonto ausgeführt werden?
    1. Nein: Weiter mit der nächsten Frage.
    2. Ja: Angenommen, Ihr PC mit dem Namen WKSTN1 gehört zur Domäne DOMAIN1. Wenn Sie einen Broker ausführen (z. B. 'DOMAIN1\user1') stellen Sie Folgendes sicher:
      • Ihrer Benutzer-ID wurde (über die lokale Sicherheitsrichtlinie) die Berechtigung Anmeldung als Dienst erteilt.
      • DOMAIN1\user1 ist Mitglied der Gruppe DOMAIN1\MyDomainGroup. Dabei steht MyDomainGroup für eine Domänengruppe, die Sie auf Ihrem Domänencontroller definiert haben.
      • DOMAIN1\MyDomainGroup ist Mitglied von WKSTN1\mqbrkrs.

      Weitere Informationen finden Sie unter Sicherheit für die Brokerwarteschlangen einrichten.

  3. Soll Ihr Broker unter dem integrierten Windows-Account LocalSystem ausgeführt werden?
    1. Ja: Geben Sie LocalSystem für den Parameter –i im Befehl mqsicreatebroker oder mqsichangebroker an.

      In beiden Fällen müssen Sie den Parameter –a (Kennwort) in der Befehlszeile eingeben, wobei der eingegebene Wert ignoriert wird.

      Weitere Informationen finden Sie unter Sicherheit für die Brokerwarteschlangen einrichten.

Beachten Sie, dass der ausgewählten Benutzer-ID in den oben genannten ersten beiden Fällen die Berechtigung Anmeldung als Dienst erteilt sein muss.

Dies wird normalerweise automatisch durch den Befehl mqsichangebroker oder den Befehl mqsichangeproperties vorgenommen, wenn eine Servicebenutzer-ID angegeben ist, die nicht über diese Berechtigung verfügt.

Wenn Sie dies jedoch vor der Ausführung der Befehle manuell vornehmen möchten, können Sie dies mit dem Tool der lokalen Sicherheitsrichtlinie unter Windows tun. Das Tool kann durch Auswahl von Systemsteuerung > Leistung und Wartung > Verwaltung > Lokale Sicherheitsrichtlinie aufgerufen werden.

Sicherheit für die Brokerwarteschlangen einrichten

Beim Ausführen des Befehls mqsicreatebroker erhält die lokale mqbrkrs-Gruppe Zugriff auf interne Warteschlangen, deren Namen mit den Zeichen SYSTEM.BROKER beginnen.

Brokerregister schützen

Für den Brokerbetrieb sind die Informationen im Brokerregister unbedingt erforderlich, daher müssen diese Informationen gegen versehentliche Beschädigung geschützt werden. Das Brokerregister wird auf dem Dateisystem gespeichert. Die Sicherheitsoptionen des Betriebssystems müssen so konfiguriert werden, dass nur Benutzer-IDs, die zur Gruppe mqbrkrs gehören, Daten in Brokername/aktuelle_Version und allen untergeordneten Schlüsseln lesen bzw. schreiben können.

Bemerkungen | Marken | Downloads | Bibliothek | Support | Feedback

Copyright IBM Corporation 1999, 2014Copyright IBM Corporation 1999, 2014.

        
        Letzte Aktualisierung:
        
        Letzte Aktualisierung: 2015-02-28 16:21:53


TaskthemaTaskthema | Version 8.0.0.5 | ap03982_