In diesem Abschnitt wird beschrieben, wie ein Nachrichtenfluss zur Ausführung der Identitätsauthentifizierung mithilfe von LDAP (Lightweight Directory Access Protocol) konfiguriert wird.
Bevor Sie beginnen:
Bevor Sie einen Nachrichtenfluss für die Ausführung einer Identitätsauthentifizierung mithilfe von LDAP konfigurieren können, müssen Sie überprüfen, ob ein geeignetes Sicherheitsprofil existiert, oder ein neues Sicherheitsprofil erstellen. Weitere Informationen hierzu finden Sie unter Sicherheitsprofil für LDAP erstellen.
Um die Identität eines Benutzers oder Systems zu authentifizieren,
versucht der Broker, unter Verwendung des Benutzernamens und Kennworts, die mit der Identität
verknüpft sind, eine Verbindung zum LDAP-Server herzustellen. Dazu benötigt der Broker folgende
Informationen:
- Um den Benutzernamen in einen LDAP-Eintrag aufzulösen, muss der Broker den Basis-DN der
akzeptierten Anmelde-ID kennen.
Der Broker benötigt diesen definierten Namen, um zwischen Einträgen
mit dem gleichen Namen unterscheiden zu können.
- Wenn die Identitäten nicht alle einen gemeinsamen Basis-DN haben, sondern auf eindeutige Weise über eine untergeordnete Baumstruktur aufgelöst werden können, kann der DN in der Brokerkonfiguration angegeben werden. Wenn eine Unterverzeichnisstruktursuche erforderlich ist, muss der Broker zunächst eine
Verbindung zum LDAP-Server herstellen und nach dem genannten Benutzernamen suchen, um den vollständigen
definierten Benutzernamen (DN) zu erhalten, der zur Authentifizierung verwendet werden soll. Wenn Ihr LDAP-Verzeichnis keine Anmeldung nicht erkannter IDs zulässt und keine Zugriffsrechte für die Suche im Unterverzeichnis erlaubt, müssen Sie eine separate autorisierte Anmelde-ID einrichten, die vom Broker für die Suche verwendet werden kann. Geben Sie mit dem Befehl mqsisetdbparms einen Benutzernamen und ein Kennwort an. Beispiel:
mqsisetdbparms -n ldap::LDAP -u Benutzername -p Kennwort
odermqsisetdbparms -n ldap::<Servername> -u Benutzername -p Kennwort
Dabei
steht <Servername> für den Basisnamen des LDAP-Servers, z. B.
ldap.mydomain.com.
Bei der Angabe von ldap::LDAP wird eine Standardeinstellung für den Broker erstellt, die der Broker verwendet, wenn Sie den Befehl mqsisetdbparms zur Erstellung einer Anmelde-ID für einen bestimmten <Servernamen> nicht ausdrücklich verwendet haben.
Alle Server ohne den ausdrücklichen Eintrag ldap::servername verwenden dann die Berechtigungsnachweise im Eintrag ldap::LDAP.
Dadurch verwenden alle Server, die bisher standardmäßig das anonyme Binden verwendet haben, die Details in ldap::LDAP.
Der im Parameter
-u angegebene Benutzername muss vom LDAP-Server als vollständiger Benutzername erkannt werden. In den meisten Fällen müssen Sie daher den vollständigen definierten Namen des Benutzers angeben. Alternativ dazu können Sie beim Festlegen eines anonymen Benutzernamens den Broker zwingen, eine anonyme Bindung zu diesem LDAP-Server herzustellen. Dies kann hilfreich sein, wenn Sie das nicht anonyme Binden als Standardeinstellung festgelegt haben (ldap::LDAP). Beispiel:
mqsisetdbparms -n ldap::<Servername> -u anonym -p Kennwort
In diesem Fall wird der für
Kennwort angegebene Wert ignoriert.
Schritt zur Aktivierung der LDAP-Authentifizierung:
Zur Aktivierung eines vorhandenen Nachrichtenflusses für die Ausführung der Identitätsauthentifizierung können Sie mit dem Brokerarchiveditor ein Sicherheitsprofil auswählen, das LDAP für die Authentifizierung verwendet. Sie können ein Sicherheitsprofil für einen Nachrichtenfluss oder individuelle Empfangsknoten festlegen.
Wenn für die Empfangsknoten kein Sicherheitsprofil festgelegt wird, wird die Einstellung aus der Einstellung des Nachrichtenflusses übernommen.
- Wechseln Sie in die Ansicht 'Brokeranwendungsentwicklung'.
- Klicken Sie in der Ansicht Brokerentwicklung mit der rechten Maustaste auf die Brokerarchivdatei und klicken sie dann auf Öffnen mit > Brokerarchiveditor.
- Klicken Sie auf die Registerkarte Manage and Configure (Verwalten und konfigurieren).
- Klicken Sie auf den Fluss oder Knoten, in dem Sie das Sicherheitsprofil festlegen möchten. Die Eigenschaften, die Sie für den Nachrichtenfluss oder für den Knoten
konfigurieren können, werden in der Ansicht Eigenschaften angezeigt.
- Wählen Sie im Feld Name des Sicherheitsprofils ein Sicherheitsprofil aus, bei dem die LDAP-Authentifizierung verwendet wird.
- Speichern Sie die BAR-Datei.
Damit ein SOAPInput-Knoten die Identität im WS-Sicherheitsheader verwenden kann (anstelle einer unterliegenden Transportidentität), müssen zusätzlich Richtliniensätze und Bindungen definiert und angegeben werden.
Der Abschnitt Richtliniensätze enthält weitere
Informationen hierzu.
Wenn die Nachrichtenidentität nicht genügend Informationen für die Authentifizierung enthält,
müssen die Informationen dem Nachrichtenhauptteil entnommen werden. Dies ist beispielsweise dann der Fall, wenn zur Authentifizierung ein Kennwort
erforderlich ist, die Nachricht von
WebSphere MQ
aber nur einen Benutzernamen enthält. Weitere Informationen finden Sie im Abschnitt
Extraktion eines Identitäts- oder Sicherheitstokens konfigurieren.