WebSphere Message Broker Version 8.0.0.5 Betriebssysteme: AIX, HP-Itanium, Linux, Solaris, Windows, z/OS

Sehen Sie sich die Informationen zur aktuellen Produktversion im IBM Integration Bus Version 9.0 an.

Überprüfung auf bekannte Hosts

Mit der Überprüfung auf bekannte Hosts können Sie steuern, mit welchen Hosts der Broker eine Verbindung herstellen darf, und die Identität der betreffenden Hosts verifizieren.

Mithilfe der Überprüfung auf bekannte Hosts kann der Broker die Nachrichten im Nachrichtenfluss gegen unberechtigte Versuche zum Abfangen der Daten schützen (Versuche, die auch als Man-in-the-Middle-Angriffe bezeichnet werden). Dateien für bekannte Hosts enthalten die SSH-Schlüssel der Hosts, mit denen der Broker eine Verbindung herstellen darf. Auf z/OS-Systemen sind die Dateien für bekannte Hosts und die SSH-Identitätsdateien im EBCDIC-Format gespeichert, während Sie auf anderen Systemen im ASCII-Format gespeichert werden.

Bevor der Broker eine Verbindung mit einem Host herstellt, um eine Datei (über den FileInput- oder FileOutput-Knoten) zu empfangen oder zu übertragen, überprüft er den Hostschlüssel anhand der Schlüssel, die in der Datei für bekannte Hosts gespeichert sind. Stimmt der Hostschlüssel mit keinem bestehenden Eintrag für den Host in der Datei für bekannte Hosts überein, schlägt die Verbindung fehl. Wenn der Host neu ist (und es noch keinen Eintrag in der Datei für bekannte Hosts gibt), hängt das Ergebnis davon ab, ob die Überprüfung auf genau bekannten Host aktiviert oder inaktiviert ist.

Sie können die Überprüfung auf genau bekannten Host aktivieren oder inaktivieren, indem Sie den Parameter strictHostKeyChecking entweder mit dem Befehl mqsicreateconfigurableservice oder über den konfigurierbaren FtpServer-Service einstellen. Weitere Informationen zu den Einstellungen, die Sie mit einem konfigurierbaren FtpServer-Service angeben können, finden Sie im Abschnitt Konfigurierbarer FtpServer-Service.

Überprüfung auf genau bekannten Host

Wenn die Überprüfung auf genau bekannten Host aktiviert ist (Parameter strictHostKeyChecking ist auf Yes gesetzt), stellt der Broker nur Verbindungen mit bekannten Hosts mit gültigen SSH-Hostschlüsseln, die in der Datei für bekannte Hosts gespeichert sind, her. Bei Verwendung der Überprüfung auf genau bekannten Host müssen Sie eine eigene Datei für bekannte Hosts im OpenSSH-Format erstellen, die die SSH-Schlüssel der vertrauenswürdigen Hosts enthält. Geben Sie die Position Ihrer eigenen Datei für bekannte Hosts mit dem Parameter knownHostsFile des Befehls mqsicreateconfigurableservice an. Wenn der Broker versucht, eine Verbindung mit einem Host herzustellen, überprüft er den Hostschlüssel anhand des Inhalts der Datei für bekannte Hosts. Ist der Schlüssel nicht in der Datei für bekannte Host enthalten, schlägt die Verbindung fehlt und der Fehler BIP3371 wird gemeldet.

Sie können mehrere Dateien für bekannte Hosts erstellen und für jeden Knoten oder konfigurierbaren Service eine andere Datei angeben. Die Dateien für bekannte Hosts, die Sie für die Überprüfung auf genau bekannten Host bereitstellen, werden nicht vom Broker geändert.

Keine Überprüfung auf genau bekannten Host

Wenn die Überprüfung auf genau bekannten Host inaktiviert ist (Parameter strictHostKeyChecking ist auf No gesetzt), stellt der Broker nur Verbindungen mit bekannten Hosts mit gültigen Schlüsseln oder mit neuen Hosts, mit denen bisher keine Verbindung bestand, her. Wenn der Broker versucht, eine Verbindung mit einem neuen Host herzustellen (mit dem bisher keine Verbindung bestand), stellt er die Verbindung her, akzeptiert den SSH-Schlüssel des Hosts und speichert ihn in der Datei für bekannte Hosts. Versucht der Broker dann bei späteren Gelegenheiten, erneut eine Verbindung mit dem betreffenden Host herzustellen, überprüft er den Hostschlüssel anhand des in der Datei für bekannte Hosts gespeicherten Schlüssels und stellt die Verbindung her, falls die Schlüssel übereinstimmen. Stimmen die Schlüssel nicht überein, schlägt der Verbindungsversuch fehl und der Fehler BIP3371 wird gemeldet.

Wenn die Überprüfung auf genau bekannten Host inaktiviert ist, wird die Datei für bekannte Hosts vom Broker verwaltet. Es gibt für jede Ausführungsgruppe eine vom Broker verwaltete Datei für bekannte Hosts.

Fehlernachricht BIP3371

Die Fehlernachricht BIP3371 kann bedeuten, dass ein unberechtigter Versuch zum Abfangen einer Nachricht stattgefunden hat. Der Verbindungsfehler (und die daraus resultierende Fehlernachricht BIP3371) kann jedoch auch dadurch verursacht werden, dass der SSH-Schlüssel des Hosts geändert wurde, nachdem bereits einmal eine Verbindung mit dem Broker bestand. Wird der SSH-Server beispielsweise erneut installiert, wird ihm ein neuer Schlüssel zugewiesen, der nicht in der Datei für bekannte Hosts enthalten ist und deshalb vom Broker nicht akzeptiert wird. Dies führt dazu, dass die Verbindung fehlschlägt und die Fehlernachricht BIP3371 angezeigt wird.

Wenn Sie wissen, dass der SSH-Hostschlüssel geändert wurde (z. B. infolge einer kürzlich erfolgten Neuinstallation des SSH-Servers), können Sie den Verbindungsfehler beheben, indem Sie die Datei für bekannte Hosts ändern:
  1. Stoppen Sie den Nachrichtenfluss.
  2. Bearbeiten Sie die Datei für bekannte Hosts:
    • Wenn die Überprüfung auf genau bekannten Host aktiviert ist, korrigieren Sie den Eintrag für den Host in der Datei für bekannte Hosts, die Sie mit dem Parameter knownHostsFile des Befehls mqsicreateconfigurableservice angegeben haben.
    • Wenn die Überprüfung auf genau bekannten Host inaktiviert ist, entfernen Sie den Eintrag für den Host aus der vom Broker verwalteten Datei für bekannte Hosts. Die Datei für bekannte Hosts befindet sich im Unterverzeichnis \components\BROKERNAME-NAME\EG-UID\config\known_hosts des Installationsverzeichnisses von WebSphere Message Broker. Unter Windows beispielsweise lautet das Standardverzeichnis C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\IBM\MQSI\components\BROKERNAME-NAME\EG-UID\config\known_hosts. Auf UNIX-Systemen lautet das Standardverzeichnis /var/mqsi/components/BROKERNAME-NAME/EG-UID/config/known_hosts.

      Bei dem Versuch, erneut eine Verbindung herzustellen, fügt der Broker den neuen Hostschlüssel in die Datei für bekannte Hosts ein.

  3. Starten Sie den Nachrichtenfluss erneut.
Bemerkungen | Marken | Downloads | Bibliothek | Support | Feedback

Copyright IBM Corporation 1999, 2014Copyright IBM Corporation 1999, 2014.

        
        Letzte Aktualisierung:
        
        Letzte Aktualisierung: 2015-02-28 16:20:19


KonzeptthemaKonzeptthema | Version 8.0.0.5 | ac55438_