Sie können einer oder mehreren Gruppen bzw. einem oder mehreren Benutzern Berechtigungen erteilen oder entziehen, damit diese bestimmte Tasks für einen Broker und dessen Ressourcen ausführen können.
Damit Sie für bestimmte Benutzer-IDs Berechtigungen gewähren oder entziehen können, müssen Sie die Sicherheit der Brokerverwaltung aktivieren. Bei der ersten Aktivierung der Sicherheit müssen Sie für jeden Benutzer eine anfängliche Steuerung einrichten, damit er zur Ausführung bestimmter Operationen berechtigt ist. Anschließend können Sie nach Bedarf weitere Berechtigungen erteilen oder widerrufen.
Berechtigungen können einzelnen Principals (Benutzer-IDs) und/oder Benutzergruppen auf allen Plattformen erteilt werden.
Wenn Sie die Berechtigungen in einer Warteschlange ändern, greift der Broker bei der nächsten Verarbeitung einer Anforderung auf die aktualisierten Werte zu. Der Broker muss nicht gestoppt und erneut gestartet werden.
Wenn Sie mit den Betriebssystemfunktionen die Benutzer-ID oder Gruppenzugehörigkeit auf der Plattform, auf der der Broker-WS-Manager ausgeführt wird, aktualisieren, müssen Sie sicherstellen, dass der WS-Manager von diesen Änderungen Kenntnis hat. Wählen Sie die Option Refresh Authorization Service (Berechtigungsservice aktualisieren) im WebSphere MQ Explorer aus, um den WS-Manager über den aktualisierten Status zu informieren.
Die jeweils erforderliche Berechtigung hängt von den Anforderungen des Benutzers ab:
Die Art und Weise, in der die erforderlichen Berechtigungen eingerichtet werden, hängt von der Plattform ab:
Diese plattformspezifischen Abschnitte enthalten auch Beispiele für die Befehlssyntax zum Anzeigen der vorhandenen Berechtigungen mithilfe des Befehls WebSphere MQ dspmqaut und zum Erstellen eines Speicherauszugs mit diesen Informationen mithilfe des Befehls dmpmqaut.
Informationen zu den zusätzlichen Berechtigungen zur Aufzeichnung und Wiedergabe von Daten finden Sie im Abschnitt Sicherheit für Aufzeichnung und Wiedergabe aktivieren.
Wenn Sie weiteren Benutzer-IDs die Administratorberechtigung erteilen möchten, fügen Sie diese IDs entweder der Gruppe mqbrkrs hinzu oder erteilen Sie diesen Benutzer-IDs für diese Warteschlange die WebSphere MQ-Berechtigungen für Abfrage-, Einreihungs- und Festlegungsaktionen.
In der folgenden Tabelle werden die erforderlichen WebSphere MQ-Berechtigungen zusammengefasst:
Objekt | Name | Berechtigungen |
---|---|---|
WS-Manager | Der WS-Manager, der dem Broker zugeordnet ist, beispielsweise MB8QMGR | Verbinden |
Warteschlange | SYSTEM.BROKER.DEPLOY.QUEUE | Einreihen |
Warteschlange | SYSTEM.BROKER.DEPLOY.REPLY | Abrufen |
Warteschlange | SYSTEM.BROKER.AUTH | Abfragen |
Warteschlange | SYSTEM.BROKER.AUTH.AG | Abfragen |
Weitere Informationen zu Berechtigungen in Berechtigungswarteschlangen finden Sie in den Abschnitten WebSphere Message Broker-Berechtigungen und funktional entsprechende WebSphere MQ-Berechtigungen und Tasks und Berechtigungen für Verwaltungssicherheit.
Wenn ein Benutzer oder eine Anwendung eine Verbindung zu einem Broker herstellen möchte, müssen Sie ihm bzw. ihr die entsprechenden Berechtigungen erteilen. Alle Anwendungen, die in die CMP-API geschrieben werden, sowie die Benutzer von WebSphere Message Broker Explorer und dem WebSphere Message Broker Toolkit benötigen Berechtigungen zur Ausführung der von ihnen erwarteten Aktionen. In der folgenden Tabelle werden die erforderlichen WebSphere MQ-Berechtigungen aufgeführt:
Objekt | Name | Berechtigungen |
---|---|---|
WS-Manager | Der WS-Manager, der dem Broker zugeordnet ist, beispielsweise MB8QMGR | Verbinden |
Warteschlange | SYSTEM.BROKER.DEPLOY.QUEUE | Einreihen |
Warteschlange | SYSTEM.BROKER.DEPLOY.REPLY | Abrufen |
Warteschlange | SYSTEM.BROKER.AUTH | Abfragen1 |
Warteschlange | SYSTEM.BROKER.AUTH.AG | Abfragen1 |
Zusätzliche Berechtigungen sind auch für Benutzer erforderlich, die über die Webbenutzerschnittstelle eine Verbindung zum Broker herstellen (siehe Beschreibung im Abschnitt Erforderliche Berechtigung für Benutzer der Webbenutzerschnittstelle).
Damit Ihre Benutzer die Webbenutzerschnittstelle verwenden können, müssen Sie Sicherheitsberechtigungen für die Rollen (Systembenutzeraccounts) festlegen, die den Webbenutzeraccounts zugeordnet sind. Die Berechtigungen werden überprüft, um die Berechtigung eines Webbenutzers zur Ausführung von Tasks in der Webbenutzerschnittstelle oder in der REST-Anwendungsprogrammierschnittstelle (API) zu ermitteln. Stellen Sie sicher, dass Benutzer folgende Berechtigungen besitzen:
Objekt | Name | Berechtigungen |
---|---|---|
Warteschlange | SYSTEM.BROKER.WEBADMIN.SUBSCRIPTION | GET |
Thema | SYSTEM.BROKER.MB.TOPIC | SUBSCRIBE |
Weitere Informationen zu Rollen und Webbenutzeraccounts finden Sie in den Abschnitten Rollenbasierte Sicherheit und Webbenutzeraccounts verwalten.
Vor der Aufzeichnung und Wiedergabe von Daten müssen Sie zusätzlich zum Festlegen der Verwaltungssicherheit auch die Sicherheitsberechtigungen für die Datenerfassung definieren. Über die Warteschlange SYSTEM.BROKER.DC.AUTH werden die Aufzeichnungs- und Wiedergabeaktionen gesteuert, die ein Benutzer auf dem Broker ausführen kann. Vergewissern Sie sich, dass Benutzer über die erforderlichen Berechtigungen für folgende Aktionen in dieser Warteschlange verfügen:
Aktion | Erforderliche Berechtigung |
---|---|
Daten, Bitströme und Ausnahmelisten anzeigen | READ (+INQ) |
Daten wiedergeben | EXECUTE (+SET) |
Wenn Sie einen Broker mit aktivierter Verwaltungssicherheit ausführen, müssen Sie möglicherweise die Namen und die Namenslänge für Ihre Ausführungsgruppen beschränken, da WebSphere MQ einige Einschränkungen bezüglich der Namen von Berechtigungswarteschlangen erzwingt. Ausführliche Informationen zu diesen Einschränkungen sowie zu den möglichen Auswirkungen finden Sie im Abschnitt Autorisierungswarteschlangen für die Sicherheit der Brokerverwaltung.