Durch Aktivieren der Sicherheit können Sie den Kreis der Benutzer, die Daten für einen Broker anzeigen und wiedergeben können, beschränken.
Bevor Sie beginnen:Informationen zur Konfiguration des Systems für die Datenaufzeichnung finden Sie im Abschnitt
Daten aufzeichnen.
Wenn Sie die Sicherheit nicht aktivieren, können alle Benutzer alle Aktionen mit einem Broker und allen Ausführungsgruppen ausführen. Zur Aktivierung der Verwaltungssicherheit muss im Befehl mqsicreatebroker oder mqsichangebroker der Parameter -s definiert werden.
Der Parameter -s gibt den Verwaltungssicherheitsstatus für den Broker an. Standardmäßig ist dieser Parameter auf inactive gesetzt. Wenn Sie für den Parameter -s active festlegen, ist die Verwaltungssicherheit aktiviert. Es können dann nur die von Ihnen berechtigten Benutzer-IDs Aktionen auf dem Broker ausführen. Wenn Sie auf einem Broker mit aktivierter Verwaltungssicherheit eine Ausführungsgruppe erstellen, wird die Warteschlange
SYSTEM.BROKER.AUTH.AG erstellt. Dieser Warteschlange müssen Sie die erforderlichen Benutzerberechtigungen hinzufügen.
Gehen Sie wie folgt vor, um Sicherheit für die Aufzeichnung und Wiedergabe zu aktivieren:
- Wenn Sie zum Anzeigen und zur Wiedergabe von Daten einen Webverwaltungsserver verwenden möchten, müssen Sie in Ihrem Betriebssystem einen Systembenutzeraccount wie z. B.
ibmuser erstellen. Dieser Systembenutzeraccount funktioniert als Rolle, die Sie einem oder mehreren Webbenutzeraccounts zuordnen können.
Wenn Sie die Brokerverwaltungssicherheit nicht aktivieren, müssen Sie diesen Systembenutzeraccount nicht erstellen. Weitere Informationen zu Rollen finden Sie im Abschnitt Rollenbasierte Sicherheit.
- Aktivieren Sie die Verwaltungssicherheit und setzen Sie zu diesem Zweck den Parameter -s auf active.
Weitere Informationen finden Sie im Abschnitt Verwaltungssicherheit aktivieren.
- Damit Benutzer mit einer zugewiesenen Rolle Aufzeichnungs- und Wiedergabeabfragen für die Ausführungsgruppe ausführen können, muss die Rolle (der Systembenutzeraccount) über die Verwaltungsberechtigung für Abfragen (inq) für die Warteschlangen SYSTEM.BROKER.AUTH und SYSTEM.BROKER.AUTH.AG verfügen.
Der Abschnitt Benutzer für Verwaltung autorisieren enthält weitere
Informationen hierzu.
- Zusätzlich zur Verwaltungssicherheit muss auch die Sicherheit für die Datenerfassung definiert werden. Über die Warteschlange SYSTEM.BROKER.DC.AUTH
werden die Aufzeichnungs- und Wiedergabeaktionen gesteuert, die die Benutzer mit einer bestimmten Rolle (z. B. ibmuser) auf dem Broker ausführen können.
Vergewissern Sie sich, dass die Rolle über die entsprechende Berechtigung zur Ausführung der folgenden Aktionen für diese Warteschlange verfügt:
Aktion |
Erforderliche Berechtigung |
Daten, Bitströme und Ausnahmelisten anzeigen |
READ (+INQ) |
Daten wiedergeben |
EXECUTE (+SET) |
Diese Berechtigungen können mit den WebSphere MQ-Befehlen oder über den WebSphere Message
Broker Explorer geändert werden.
Beachten Sie für die Verwendung von WebSphere MQ-Befehlen die Informationen im Abschnitt Berechtigung auf Linux-, UNIX- und Windows-Systemen gewähren und entziehen.
Gehen Sie wie folgt vor, wenn Sie den
WebSphere Message
Broker Explorer verwenden möchten:
- Navigieren Sie in der Ansicht 'MQ Explorer - Navigator' zu (IBM WebSphere MQBroker > Warteschlangenmanager), erweitern Sie Ihren Warteschlangenmanager und wählen Sie Queues (Warteschlangen) aus.
- Klicken Sie mit der rechten Maustaste auf die Warteschlange SYSTEM.BROKER.DC.AUTH und klicken Sie anschließend auf (Objektberechtigungen > Berechtigungssätze verwalten).
- Erweitern Sie Specific Profiles (Spezielle Profile) und klicken Sie auf SYSTEM.BROKER.DC.AUTH.
- Wählen Sie auf der Registerkarte Users (Benutzer) den Eintrag ibmuser aus und klicken Sie auf Edit (Bearbeiten).
- Definieren Sie die entsprechenden Berechtigungen und klicken Sie auf OK. Schließen Sie dann das Dialogfenster
Manage Authority Records (Berechtigungssätze verwalten).
- Starten Sie nach einer Änderung der Berechtigungen den Broker und den Warteschlangenmanager des Brokers erneut, um sicherzugehen, dass die Änderungen übernommen werden.
- Erstellen Sie mit dem Befehl mqsiwebuseradmin einen Webbenutzeraccount. Diesen Webbenutzeraccount werden Sie zur Anmeldung bei der Webbenutzerschnittstelle zum Anzeigen und Wiedergeben von Daten verwenden. Bei aktivierter Brokerverwaltung müssen Sie für den Webbenutzeraccount beim Erstellen eine Rolle angeben. Bei dieser Rolle handelt es sich um den in Schritt 1 erstellten Systembenutzeraccount, dem Sicherheitsberechtigungen zugewiesen sind.
Sie finden weitere Informationen hierzu in den Abschnitten mqsiwebuseradmin-Befehl und Webbenutzeraccounts verwalten.
Setzen Sie zum Inaktivieren der Sicherheit den Parameter -s im Befehl
mqsichangebroker auf inactive.
Nächste Schritte:
Beachten Sie zur Anzeige aufgezeichneter Daten die Informationen im Abschnitt Aufgezeichnete Daten anzeigen.
Beachten Sie zur Wiedergabe aufgezeichneter Daten die Informationen im Abschnitt Daten wiedergeben.