WebSphere Message Broker Version 8.0.0.5 Betriebssysteme: AIX, HP-Itanium, Linux, Solaris, Windows, z/OS

Sehen Sie sich die Informationen zur aktuellen Produktversion im IBM Integration Bus Version 9.0 an.

Sicherheitsprofil für LDAP erstellen

Ein Sicherheitsprofil für LDAP (Lightweight Directory Access Protocol) oder LDAPS (Secure LDAP) können Sie über den Befehl mqsicreateconfigurableservice oder mithilfe eines Editors im WebSphere Message Broker Explorer erstellen.

Bevor Sie beginnen:

Stellen Sie sicher, dass Sie einen LDAP-Server verwenden, der mit LDAP Version 3 kompatibel ist.
  • IBM® Tivoli Directory Server
  • Microsoft Active Directory
  • OpenLDAP

Wenn Ihr LDAP-Verzeichnis keine Anmeldung nicht erkannter Benutzer-IDs zulässt und keine Zugriffsrechte für die Suche im Unterverzeichnis erlaubt, müssen Sie außerdem eine separate autorisierte Anmelde-ID einrichten, die vom Broker für die Suche verwendet werden kann. Weitere Informationen hierzu finden Sie unter Autorisierung mit LDAP konfigurieren oder Authentifizierung mit LDAP konfigurieren.

Sicherheitsprofil mit 'mqsicreateconfigurableservice' erstellen

Mit dem Befehl mqsicreateconfigurableservice können Sie ein Sicherheitsprofil erstellen, das LDAP für die Authentifizierung und/oder Berechtigung verwendet. Mit dem Sicherheitsprofil wird sichergestellt, dass jede Nachricht über eine authentifizierte ID verfügt und für den Nachrichtenfluss berechtigt ist.

  1. Öffnen Sie ein Befehlsfenster, das für Ihre Umgebung konfiguriert ist.
  2. Geben Sie in der Befehlszeile den Befehl mqsicreateconfigurableservice ein: Beispiel:
    mqsicreateconfigurableservice WBRK_BROKER -c SecurityProfiles -o LDAP
    -n authentication,authenticationConfig,authorization,authorizationConfig,propagation,rejectBlankpassword
    -v "LDAP,\"ldap://ldap.acme.com:389/ou=sales,o=acme.com\",LDAP,
    \"ldap://ldap.acme.com:389/cn=All Sales,ou=acmegroups,o=acme.com\",TRUE,TRUE

    Die LDAP-URL, die Kommas enthält, muss in Anführungszeichen gesetzt werden, denen Escapezeichen (\" und \") vorangestellt sind, damit die Kommas in der URL nicht mit Kommatrennzeichen der Wertparameter von mqsicreateconfigurableservice verwechselt werden.

    Enthält die LDAP-URL einen Elementnamen mit Leerzeichen, wie in diesem Fall cn=All Sales, muss die Gruppe von Werten nach dem Flag -v in Anführungszeichen gesetzt werden (").

    Weitere Informationen zur Befehlsstruktur finden Sie im Abschnitt mqsicreateconfigurableservice-Befehl.

    Sie können die sicherheitsspezifischen Teile des Befehls wie folgt definieren:

    1. Setzen Sie authentication auf LDAP. Dadurch wird sichergestellt, dass die ankommende Identität geprüft wird.
    2. Legen Sie authenticationConfig fest und verwenden Sie dabei folgende Syntax:
      ldap[s]://Server[:Port]/Basis-DN[?[Benutzer-ID-Attribut][?[base|sub]]]

      Beispiel:

      ldap://ldap.acme.com:389/ou=sales,o=acme.com
      ldaps://localhost:636/ou=sales,o=acme?cn?base
      ldap:
      (Erforderlich) Festgelege Protokollzeichenfolge.
      s:
      (Optional) Gibt an, ob SSL verwendet werden soll. Standardmäßig wird SSL nicht verwendet.
      Server:
      (Erforderlich) Der Name oder die IP-Adresse des LDAP-Servers, zu dem eine Verbindung hergestellt werden soll.
      Port:
      (Optional) Der Port, zu dem eine Verbindung hergestellt werden soll. Standardmäßig ist dies 389 (kein SSL). Für LDAP-Server mit aktiviertem SSL wird in der Regel Port 636 verwendet.
      Basis-DN
      (Erforderlich) Eine Zeichenfolge, die den Basis-DN aller Benutzer im Verzeichnis definiert. Wenn Benutzer in verschiedenen Unterverzeichnisstrukturen vorhanden sind, geben Sie eine gemeinsame Unterverzeichnisstruktur an, unter der eine Suche nach dem Benutzernamen den Eintrag auf eindeutige Weise in den erforderlichen Benutzereintrag auflöst, und legen Sie das Attribut sub fest.
      Benutzer-ID-Attribut:
      (Optional) Eine Zeichenfolge, die das Attribut definiert, dem der eingehende Benutzername zugeordnet wird, normalerweise 'uid', 'CN' oder 'emailaddress'. Der Standardwert ist uid.
      base|sub:
      (Optional) Gibt an, ob eine Basissuche oder eine Suche in der Unterverzeichnisstruktur durchgeführt werden soll. Bei Angabe von base geht die Authentifizierung schneller, weil der DN des Benutzers aus den Werten Benutzer-ID-Attribut, Benutzername und Basis-DN erzeugt werden kann. Bei Angabe von sub muss eine Suche durchgeführt werden, damit der DN aufgelöst werden kann. Der Standardwert ist sub.
    3. Setzen Sie authorization auf LDAP. Dadurch wird sichergestellt, dass die ankommende Identität auf Gruppenzugehörigkeit in LDAP überprüft wird.
    4. Legen Sie authorizationConfig fest und verwenden Sie dabei folgende Syntax:
      ldap[s]://Server[:Port]/Gruppen-DN[?[Mitgliedsattribut][?[base|sub][?[x-userBaseDN=Basis-DN,x-uid_attr=Benutzer-ID-Attribut]]]]

      Beispiel:

      ldap://ldap.acme.com:389/cn=All Sales,ou=acmegroups,o=acme.com?uniquemember?sub?x-userBaseDN=ou=sales%2co=ibm.com,x-uid_attr=emailaddress
      ldap:
      (Erforderlich) Festgelegte Protokollzeichenfolge.
      s:
      (Optional) Gibt an, ob SSL verwendet werden soll. Standardmäßig wird SSL nicht verwendet.
      Server:
      (Erforderlich) Der Name oder die IP-Adresse des LDAP-Servers, zu dem eine Verbindung hergestellt werden soll.
      Port:
      (Optional) Der Port, zu dem eine Verbindung hergestellt werden soll. Standardmäßig ist dies 389 (kein SSL). Für LDAP-Server mit aktiviertem SSL wird in der Regel Port 636 verwendet.
      Gruppen-DN
      (Erforderlich) Der vollständig definierte Name der Gruppe, zu der Benutzer gehören müssen, um eine Zugriffsberechtigung zu erhalten.
      Mitgliedsattribut:
      (Optional) Das Attribut der Gruppe, das als Filterattribut für die Suche verwendet wird. Standardmäßig wird nach beiden Attributen, member und uniquemember, gesucht.
      Die folgenden Optionen sind nur erforderlich, wenn der Autorisierung keine Authentifizierung vorausging und die Authentifizierungskonfigurationszeichenfolge nicht angegeben wurde. Wenn die Authentifizierungskonfigurationszeichenfolge angegeben wurde, werden die folgenden Parameter ignoriert und stattdessen die von baseDN, uid_attr und [base|sub] übergebenen Parameter für die Authentifizierung verwendet:
      base|sub:
      (Optional) Gibt an, ob eine Basissuche oder eine Suche in der Unterverzeichnisstruktur durchgeführt werden soll. Bei Angabe von base geht die Authentifizierung schneller, weil der DN des Benutzers aus der Kombination Benutzer-ID-Attribut + Benutzername + Basis-DN erzeugt werden kann. Bei Angabe von sub muss eine Suche durchgeführt werden, damit der DN aufgelöst werden kann. Der Standardwert ist sub.
      Basis-DN
      (Optional) Eine Zeichenfolge, die den Basis-DN aller Benutzer im Verzeichnis angibt. Ihr muss die Zeichenfolge x-userBaseDN vorangestellt sein. Kommas im Basis-DN müssen als %2c übergeben werden.
      Benutzer-ID-Attribut:
      (Optional) Eine Zeichenfolge, die das Attribut definiert, dem der eingehende Benutzername zugeordnet wird, normalerweise 'uid', 'CN' oder 'emailaddress'. Der Standardwert ist 'uid'. Der Zeichenfolge muss die Zeichenfolge x-uid_attr vorangestellt sein.
    Wenn der Befehl aus einer Stapeldatei (BAT) oder Befehlsdatei (CMD) übergeben wird und die LDAP-URL eine Erweiterung mit LDAP-URL-Escapezeichen im Format 'ProzentHexadezimalzeichenHexadezimalzeichen' (z. B. ein Komma, das durch %2c ersetzt wurde, oder ein Leerzeichen, das durch %20 ersetzt wurde) enthält, muss diesen Prozentzeichen für den Stapelinterpreter ein zusätzliches Prozentzeichen als Escapezeichen vorangestellt werden (%%). Beispiel:
    mqsicreateconfigurableservice WBRK_BROKER -c SecurityProfiles -o LDAP_URI_FUN 
    -n authentication,authenticationConfig,authorization,authorizationConfig -v
    "LDAP,\"ldap://ldap.acme.com:389/ou=sales,o=acme.com?emailaddress?sub\",
    LDAP,\"ldap://ldap.acme.com:389/cn=All Sales,ou=acmegroups,
    o=acme.com?report?base?x-BaseDN=ou=sales%%2co=acme.com,x-uid_attr=emailaddress\""

    Die ausgewählte Gruppe muss auf dem LDAP-Server definiert sein und alle erforderlichen Benutzer müssen Mitglied der Gruppe sein.

  3. Wenn das Sicherheitsprofil nach der Erstellung rekonfiguriert werden muss, verwenden Sie dazu den Befehl mqsichangeproperties. Sie müssen die Ausführungsgruppe stoppen und erneut starten, damit die Änderung des Eigenschaftswerts übernommen wird.

Sicherheitsprofil mit dem WebSphere Message Broker Explorer erstellen

Sie können mit dem WebSphere Message Broker Explorer ein Sicherheitsprofil für LDAP erstellen.
  1. Klicken Sie in WebSphere Message Broker Explorer mit der rechten Maustaste auf den Broker, mit dem Sie arbeiten möchten, und klicken Sie dann auf Eigenschaften.
  2. Wählen Sie im Fenster Eigenschaften die Registerkarte 'Sicherheit' aus und klicken Sie auf Sicherheitsprofile. Das Fenster 'Sicherheitsprofile' wird geöffnet. Es enthält auf der linken Seite eine Liste der vorhandenen Sicherheitsprofile für den Broker und auf der rechten Seite ein Teilfenster, in dem Sie das Profil konfigurieren können.
  3. Klicken Sie auf Hinzufügen, um ein neues Profil zu erstellen und zur Liste hinzuzufügen. Sie können den Namen des Sicherheitsprofils bearbeiten, indem Sie ihn in der Liste hervorheben und die Taste F2 drücken.
  4. Konfigurieren Sie das Sicherheitsprofil, indem Sie die Eingabefelder im rechten Teilfenster ausfüllen:
    1. Wählen Sie den gewünschten Typ der Authentifizierung aus. Zur Auswahl stehen LDAP, TFIM oder NONE.
    2. Wenn Sie LDAP für die Autorisierung ausgewählt haben, bearbeiten Sie die folgenden Felder im Bereich LDAP-Parameter:
      • LDAP-Host
      • LDAP-Basis-DN
      • LDAP-Benutzer-ID-Attribut
      • LDAP-Suchbereich

      Aus den Werten, die Sie in den Feldern LDAP-Parameter eingeben, wird eine Konfigurationszeichenfolge erstellt, die im Feld Authentifizierungskonfiguration angezeigt wird. Informationen zu den gültigen Werten für die Parameter finden Sie im Abschnitt Sicherheitsprofil mit 'mqsicreateconfigurableservice' erstellen.

    3. Wählen Sie den gewünschten Typ der Zuordnung aus. Zur Auswahl stehen TFIM oder NONE.
    4. Wenn Sie TFIM für die Zuordnung ausgewählt haben, geben Sie die URL des TFIM-Servers im Feld TFIM-Konfiguration im Bereich TFIM-Parameter ein.

      Aus dem Wert, den Sie im Feld TFIM-Konfiguration angeben, wird eine Konfigurationszeichenfolge erstellt, die im Feld Zuordnungskonfiguration angezeigt wird.

    5. Wählen Sie den gewünschten Typ der Autorisierung aus. Zur Auswahl stehen LDAP, TFIM oder NONE.
    6. Wenn Sie LDAP für die Autorisierung ausgewählt haben, bearbeiten Sie die folgenden Felder im Bereich LDAP-Parameter:
      • LDAP-Host
      • LDAP-Basis-DN
      • LDAP-Benutzer-ID-Attribut
      • LDAP-Suchbereich
      • LDAP-Gruppenbasis-DN
      • LDAP-Gruppenmitglied

      Aus den Werten, die Sie in den Feldern LDAP-Parameter eingeben, wird eine Konfigurationszeichenfolge erstellt, die im Feld Autorisierungskonfiguration angezeigt wird. Informationen zu den gültigen Werten für die Parameter finden Sie im Abschnitt Sicherheitsprofil mit 'mqsicreateconfigurableservice' erstellen.

    7. Geben Sie im Feld Weitergabe an, ob die Identität weitergegeben werden soll. Der Standardwert ist False (keine Weitergabe).
    8. Geben Sie im Feld Reject Empty Password (Leeres Kennwort ablehnen) an, ob der Sicherheitsmanager einen Benutzernamen mit leerem Kennworttoken ablehnen soll, ohne ihn an den LDAP-Server weiterzuleiten. Der Standardwert ist False, d. h., ein Benutzername wird auch mit leerem Kennworttoken an den LDAP-Server weitergeleitet.
    9. Wählen Sie im Feld Kennwortwert die Weise aus, in der das Kennwort im Eigenschaftsordner angezeigt wird. Folgende Optionen stehen zur Verfügung:
      PLAIN
      Das Kennwort wird im Eigenschaftsordner als unverschlüsselter Text angezeigt.
      OBFUSCATE
      Das Kennwort wird im Eigenschaftsordner in der Base64-Codierung angezeigt.
      MASK
      Das Kennwort wird im Eigenschaftsordner als vier Sterne (****) angezeigt.
  5. Klicken Sie auf Fertigstellen, um das Sicherheitsprofil im Broker zu implementieren.

Wenn Sie ein vorhandenes Sicherheitsprofil löschen möchten, wählen Sie das Profil in der Liste aus und klicken Sie anschließend auf Löschen.

Bemerkungen | Marken | Downloads | Bibliothek | Support | Feedback

Copyright IBM Corporation 1999, 2014Copyright IBM Corporation 1999, 2014.

        
        Letzte Aktualisierung:
        
        Letzte Aktualisierung: 2015-02-28 16:21:54


TaskthemaTaskthema | Version 8.0.0.5 | ap04141_