Aktivieren Sie die Verwaltungssicherheit auf einem Broker, um zu
steuern, welche Benutzer bestimmte Tasks für den Broker und dessen Ressourcen ausführen können.
Sie haben die Möglichkeit, bei der Erstellung eines Brokers die Verwaltungssicherheit zu aktivieren. Wenn Sie sich erst nach der Erstellung des Brokers für die Verwaltungssicherheit entscheiden, können Sie die entsprechende Brokereigenschaft ändern.
Zur Erstellung oder Änderung eines Brokers muss Ihre Benutzer-ID zur WebSphere MQ-Steuergruppe mqm gehören.
- Wenn Sie die Sicherheit der Brokerverwaltung bei der Erstellung des Brokers aktivieren möchten, wählen Sie die Sicherheitsoption im Assistenten für die Brokererstellung im WebSphere Message
Broker Explorer aus oder geben Sie den Parameter -s
active im Befehl mqsicreatebroker an. Geben Sie beispielsweise folgenden Befehl ein, wenn Sie einen Broker namens MB8BROKER mit aktivierter Sicherheit unter AIX erstellen möchten:
mqsicreatebroker MB8BROKER -q MB8QMGR -s active
Der Broker erstellt die Berechtigungswarteschlange SYSTEM.BROKER.AUTH. Mit dieser Warteschlange wird definiert, welche Benutzer zur Ausführung einer Aktion im Broker berechtigt sind.
Der Broker weist dieser Warteschlange außerdem die erforderlichen Berechtigungen für Abfrage-, Einreihungs- und Konfigurationsvorgänge (inquire, put, set) zu. Damit werden allen Mitgliedern der Gruppe mqbrkrs Lese-, Schreib- und Ausführungsberechtigungen erteilt.
Sie müssen daher sicherstellen, dass mindestens ein Mitglied Ihres Teams für die Brokerverwaltung zu dieser Gruppe gehört. Außerdem muss die Mitgliedschaft in dieser Gruppe sorgfältig verwaltet werden, um sicherzustellen, dass diese Berechtigung nur Benutzern erteilt wird, die sie benötigen.
Unter z/OS werden diese Berechtigungen in Form von Berechtigungsstufen in einem externen Sicherheitsmanager implementiert, der zusammen mit WebSphere MQ eingesetzt wird. Bei Verwendung von RACF als externen Sicherheitsmanager sind diese Stufen hierarchisch; so schließt beispielsweise der Zugriff ALTER auch die Zugriffsrechte READ und WRITE ein. Lesen Sie sich daher in der Dokumentation für den von Ihnen verwendeten Sicherheitsmanager die Informationen zu den unterstützten Berechtigungsstufen durch. Auf verteilten Plattformen gibt es keine vergleichbare Hierarchie; die drei Berechtigungen sind unabhängig voneinander.
- So aktivieren Sie die Sicherheit der Brokerverwaltung für einen bestehenden Broker:
- Stoppen Sie den Broker im WebSphere Message
Broker Explorer oder führen Sie den Befehl mqsistop aus.
- Wählen Sie die Sicherheitsoption für diesen Broker im WebSphere Message
Broker Explorer aus oder führen Sie den Befehl mqsichangebroker aus und geben Sie dabei den Parameter -s active an. Geben Sie beispielsweise folgenden Befehl ein, um die Sicherheit für den Broker MB8BROKER zu aktivieren:
mqsichangebroker MB8BROKER -s active
Der Broker erstellt eine Warteschlange für jede definierte Ausführungsgruppe mit einem Namen, der dem Format SYSTEM.BROKER.AUTH.AG entspricht. Dabei steht AG für den Namen der Ausführungsgruppe. Der Broker ordnet der Warteschlange Standardberechtigungen mit Abfrage-, Einreihungs- und Festlegungsautorisierung zu, wodurch der Ausführungsgruppe und ihren Eigenschaften der Lese-, Schreib- und Ausführungszugriff für die Gruppe mqbrkrs erteilt wird. Diese Warteschlangen und die Brokerberechtigungswarteschlange SYSTEM.BROKER.AUTH sind jetzt einsatzbereit.
Möglicherweise entsprechen die Namen der Warteschlangen, die für Ihre Ausführungsgruppen generiert werden, nicht genau den Namen der Ausführungsgruppen, da WebSphere MQ einige Einschränkungen bezüglich der Namen von Berechtigungswarteschlangen erzwingt. Ausführliche Informationen zu diesen Einschränkungen sowie zu den möglichen Auswirkungen finden Sie im Abschnitt Autorisierungswarteschlangen für die Sicherheit der Brokerverwaltung.
- Starten Sie den Broker im WebSphere Message
Broker Explorer oder führen Sie den Befehl mqsistart aus.
- Überprüfen Sie, ob die Benutzer-ID, unter der der Broker ausgeführt wird, zur WebSphere MQ-Sicherheitsgruppe mqm gehört. Ohne diese Berechtigung kann der Broker die Berechtigungswarteschlangen für Ausführungsgruppen zur Laufzeit nicht erstellen oder löschen.
Da die Berechtigung mqm für alle WebSphere MQ-Ressourcen die vollständige Zugriffssteuerung gewährt, soll Ihr Broker möglicherweise nicht mit dieser Berechtigungsebene ausgeführt werden.
Wenn der Broker nicht mit der Berechtigung mqm ausgeführt werden soll, müssen Sie mit Ihrem WebSphere MQ-Administrator zusammenarbeiten, um sicherzustellen, dass die erforderlichen Warteschlangen zum entsprechenden Zeitpunkt erstellt (und gelöscht) werden.
Gehen Sie wie folgt vor, wenn Sie Ihrem Broker die Berechtigung mqm gewähren möchten:
- Fügen Sie auf Linux- und UNIX-Systemen die Benutzer-ID, die den Broker gestartet hat, zu mqm hinzu.
- Fügen Sie unter Windows die Benutzer-ID, die Sie als Servicebenutzer-ID angegeben haben, zu mqm hinzu. Wenn Sie diese Benutzer-ID hinzufügen, wird allen Benutzer-IDs, die in derselben Primärgruppe definiert sind, dieselbe Berechtigungsebene gewährt.
Deshalb müssen Sie die Gruppenzugehörigkeit sorgfältig steuern, um sicherzustellen, dass der Zugriff keinen Benutzer-IDs erteilt wird, die ihn nicht benötigen.
- Erteilen Sie unter z/OS, der Benutzer-ID der gestarteten Task äquivalente Berechtigungen.
- Überprüfen Sie auch, ob die Benutzer-ID, die dem Broker zugeordnet ist und die im vorherigen Schritt definiert wurde, über die WebSphere MQ-Berechtigung 'altuser' verfügt. Diese Berechtigung wird vom Broker benötigt, um von WebSphere MQ die Überprüfung von Berechtigungen anzufordern.
Zeigen Sie mit dem Befehl
mqsireportbroker
Brokername Registrierungseinträge für einen Broker an.
Nächster Schritt: Gewähren Sie den Benutzern die entsprechenden Berechtigungen für die Tasks, die von diesen ausgeführt werden sollen, indem Sie die Warteschlangen mit den relevanten Details füllen. Diese Task wird im Abschnitt
Benutzer für Verwaltung autorisieren beschrieben.