Mit dem Befehl mqsisetdbparms können Sie einer oder mehreren Ressourcen, auf die der Broker zugreift, eine bestimmte Benutzer-ID und ein Kennwort (oder eine SSH-Identitätsdatei) zuordnen.
Das Benutzer-ID/Kennwort-Paar wird im DSN-Ordner unter dem Registrierungsordner des Brokers erstellt.
Der Befehl mqsisetdbparms kann auch ausgeführt werden, während der Broker aktiv ist. Allerdings müssen alle Ausführungsgruppen, die einen bestimmten Standardsubsystemnamen nutzen, gestoppt und gestartet werden, bevor diese Informationen von den Ausführungsgruppen gelesen und verwendet werden.
Diese Verhalten unterscheidet sich von dem Standardverhalten in WebSphere Message Broker Version 6.1, bei dem der Broker gestoppt werden muss, wenn dieser Befehl ausgeführt werden soll.
Wenn der Befehl mqsisetdbparms in einer Linux- oder UNIX-Konsole ausgegeben wird, muss bei Verwendung reservierter Zeichen ein Escapezeichen hinzugefügt werden. Geben Sie zum Beispiel folgende Werte ein:
mqsisetdbparms DUMMYBROKER -n ftp::DUMMYFTP -u dummy\\user -p abcdef
Das nachfolgende Format darf nicht verwendet werden:
mqsisetdbparms DUMMYBROKER -n ftp::DUMMYFTP -u dummy\user -p abcdef
Wenn Sie dieses Format verwenden, wird das Backslash-Zeichen (\) in der Benutzer-ID oder im Kennwort ignoriert. Im genannten Beispiel hat dies zur Folge, dass die FTP-Verbindung über den FileInput-Knoten mit falschen Benutzerberechtigungsnachweisen fehlschlägt.
Eine vollständige Liste der reservierten Zeichen sowie die diesen Zeichen zugeordneten Regeln zur Verwendung von Anführungszeichen und Escapezeichen finden Sie in der mit der Shell bereitgestellten Dokumentation.
>>-mqsisetdbparms--Brokername-- -n --Ressourcenname-------------> >-- -u --Benutzer-ID--------------------------------------------> >--+- -p --Kennwort--------------------------------------------+--> '- -i --SSH-Identitätsdatei--+----------------------------+-' '- -r --Verschlüsselungstext-' >--+-----+----------------------------------------------------->< '- -f '
>>-mqsisetdbparms--Brokername-- -n --Ressourcenname-------------> >--+-------------------+----------------------------------------> '- -u --Benutzer-ID-' >--+- -p --Kennwort--------------------------------------------+--> '- -i --SSH-Identitätsdatei--+----------------------------+-' '- -r --Verschlüsselungstext-' >--+-----+----------------------------------------------------->< '- -f '
Geben Sie zur Definition der Standardwerte für das Benutzer-ID/Kennwort-Paar, das der Broker für alle Datenquellennamen verwenden soll, für die keine spezifischen Werte angegeben wurden, dsn::DSN an.
Wenn Sie für den Broker eine Migration von einer älteren Version durchgeführt haben, ersetzen die in diesem Befehl definierten Werte die Werte, die Sie vor der Migration mit dem Befehl mqsicreatebroker oder mqsichangebroker festgelegt haben; die Parameter dieser beiden Befehle werden in WebSphere Message Broker Version 8.0 nicht mehr unterstützt.
Geben Sie jdbc::JDBC an, um die Standardwerte für das Benutzer-ID/Kennwort-Paar zu definieren, das der Broker für alle JDBC-Verbindungen verwendet, für die keine spezifischen Werte angegeben wurden.
Geben Sie ldap::<Servername> an, um die Berechtigungsnachweise für einen bestimmten Server zu definieren. Soll der Broker eine anonyme Verbindung zu diesem Server herstellen, müssen Sie anonymous als Benutzer-ID angeben.
Geben Sie ldap::LDAP an, um eine Standardeinstellung zu definieren. Der Broker verwendet das angegebene Benutzer-ID/Kennwort-Paar für alle Server, für die kein eigener ldap::<Servername>-Eintrag definiert wurde. Dadurch verwenden alle Server, die zuvor standardmäßig die anonyme Bindung verwendet haben, die im ldap::LDAP-Eintrag definierten Angaben.
Die auf diese Weise konfigurierte Benutzer-ID sowie das zugehörige Kennwort müssen der Benutzer-ID und dem Kennwort entsprechen, die von der SFM-Konsole bereitgestellt werden. Es wird empfohlen, SFM bei der Festlegung der Basiszugriffsauthentifizierung für die Nutzung von SSL zu konfigurieren.
Um die Kompatibilität mit vorhandenen Systemen sicherzustellen, kann nach wie vor noch <Kennwort> angegeben werden. Wird jedoch bei Ausführung des Befehls kein Kennwort für diesen Parameter angegeben, werden Sie beim Aufrufen des Befehls aufgefordert, ein Kennwort anzugeben und dieses anschließend noch ein zweites Mal einzugeben, um sicherzustellen, dass es korrekt eingegeben wurde.
Nur unter z/OS: Dieser Parameter ist beim Ressourcentyp dsn::DSN optional. Ohne diesen Parameter verwendet der Broker die Benutzer-ID der gestarteten Task für die Verbindung mit DB2. Bei der Erstellung vollständig qualifizierter SQL-Anweisungen (z. B. für gespeicherte Prozeduren) verwendet der Broker die Benutzer-ID, die Sie über den Parameter -u angegeben haben. Wenn Sie vollständig qualifizierte SQL-Anweisungen erstellen, verwendet der Broker diese Anweisungen wie von Ihnen erstellt.
Für den Ressourcentyp ftp:: muss dieser Parameter angegeben werden, für den Ressourcentyp sftp:: ist er optional. Wird allerdings für eine sftp::-Ressource kein Kennwort angeben, müssen Sie den Parameter SSH-Identitätsdatei angeben.
Auf z/OS-Systemen werden bekannte Hostdateien und SSH-Identitätsdateien im EBCDIC-Format gespeichert, in allen anderen Betriebssystemen im ASCII-Format.
Stellen Sie sicher, dass die Registry ausreichend gegen unbefugte Zugriffe geschützt ist.
mqsisetdbparms Brokername -n Ressourcenname -u Benutzer-ID -p Kennwort
Beispiel:
mqsisetdbparms MB8BROKER -n cics::mySecurityIdentity -u myUserID -p myPassword
Das folgende Beispiel zeigt, wie der Befehl für einen bestimmten Datenquellennamen verwendet wird (hier ist kein URI-Präfix (Universal Record Identifier) erforderlich):
mqsisetdbparms MB8BROKER -n Database1 -u MQUserId -p password
Mit dem folgenden Beispiel werden alle Werte, die für einen bestimmten Datenquellennamen definiert sind, aus dem Brokerregister gelöscht:
mqsisetdbparms MB8BROKER -n ClientDB -d
mqsisetdbparms MB8BROKER -n dsn::DSN -u UserId1 -p password1
mqsisetdbparms MB8BROKER -n odbc::DSN -u myuserid
-p mypassword
mqsisetdbparms MB8BROKER -n odbc::DSN::default -u myuserid -p mypassword
mqsisetdbparms Brokername -n Ressourcenname -u Benutzer-ID -p Kennwort
Beispiel:
mqsisetdbparms MB8BROKER -n email::mySecurityIdentityObjectName
-u myUserID -p myPassword
mqsisetdbparms Brokername -n Ressourcenname -u Benutzer-ID -p Kennwort
Beispiel:
mqsisetdbparms MB8BROKER -n cd::default -u mqbroker -p xxxxxxx
mqsisetdbparms Brokername -n Ressourcenname -u Benutzer-ID -p Kennwort
Beispiel:mqsisetdbparms MB8BROKER -n jdbc::mySecurityIdentity -u myuserid -p secretpw
mqsisetdbparms MB8BROKER -n jdbc::JDBC -u UserId2 -p password2
Das folgende Beispiel zeigt, wie mit dem Befehl die URI eines JMS- oder Ressourcennamens durch den Parameter -n Ressourcenname ersetzt wird.
Eine JMS-Ressource hat das URL-Präfix "jms::", eine JNDI-Ressourcen das Präfix "jndi::".
Wenn die Parameterzeichenfolge unter Linux und UNIX-Systeme ein Backslash-Zeichen (\) umfasst, muss bei Eingabe des Befehls mqsisetdbparms ein zweites Backslash-Zeichen (\\) als Escape-Zeichen angegeben werden.
mqsisetdbparms MB8BROKER -n jms::tcf1 -u myuserid -p secret
mqsisetdbparms MB8BROKER -n jndi::com.sun.jndi.fscontext.RefFSContextFactory
-u myuserid -p secret
Die obigen Beispiele beschreiben, wie die Sicherheit für JMS- und JNDI-Ressourcen für alle JMS-Knoten konfiguriert werden, die diese Ressourcen in einem Broker verwenden.
Name des Nachrichtenflusses_Knotenbezeichnung
MyJMSFlow1_MyJMSInput1
RessourcentypAccountname@Ressourcenname
jms::MyJMSFlow1_MyJMSInput1@tcf1
mqsisetdbparms MB8BROKER -n jms::MyJMSFlow1_MyJMSInput1@tcf1
-u myuserid -p secret
mqsisetdbparms MB8BROKER -n ldap::ldap.mydomain.com -u ldapuid -p ********
Um die Autorisierung für andere Server zu definieren, müssen Sie mit dem Befehl wie folgt Standardberechtigungsnachweise konfigurieren:mqsisetdbparms MB8BROKER -n ldap::LDAP -u ldapother -p ********
Soll der Broker eine anonyme Verbindung zu einem LDAP-Server herstellen, müssen Sie den Servernamen und die Benutzer-ID anonymous angeben:mqsisetdbparms MB8BROKER -n ldap::ldap.mydomain2.com -u anonymous -p ********
Bei Angabe der Benutzer-ID anonymous wird das Kennwort immer ignoriert.mqsisetdbparms
Brokername -n Adaptername -u Benutzername
-p Kennwort
Beispiel:mqsisetdbparms MB8BROKER -n eis::SAPCustomerInbound.inadapter -u sapuid -p ********
mqsisetdbparms MB8BROKER -n eis::TwineballInbound.inadapter -u mqbroker -p ********
mqsisetdbparms Brokername -n Ressourcenname -u Benutzer-ID -p Kennwort
Beispiel:
mqsisetdbparms MB8BROKER -n ims::mySecurityIdentity -u myuserid -p mypassword
mqsisetdbparms MB8BROKER -n ftp::identityA -u user1 -p MyPassword
mqsisetdbparms MB8BROKER -n sftp::identityB -u user2 -p MyPassword
mqsisetdbparms MB8BROKER -n sftp::identityC -u user3 -i C:\key_rsa_no_pp
mqsisetdbparms MB8BROKER -n sftp::identityD -u user4 -i C:\key_rsa_pp -r MyPassPhrase
mqsisetdbparms MB8BROKER -n sfm::scmp -u user1 -p MyPassword
mqsisetdbparms MB8BROKER -n sfm::scmp -d
Mit dem Befehl mqsisetdbparms können Sie dem Broker Kerberos-Clientberechtigungsnachweise für den Zugriff auf das Kerberos-Key-Distribution-Center (KDC) zur Verfügung stellen. Diese Berechtigungsnachweise, die für die SOAPRequest-Knoten erforderlich sind, können auch in der Baumstruktur der Brokereigenschaften zur Verfügung gestellt werden.
mqsisetdbparms MB8BROKER -n kerberos::realm1::ExecutionGroup1 -u clientId -p ClientPassword
mqsisetdbparms MB8BROKER -n kerberos::realm1 -u clientId -p ClientPassword
mqsisetdbparms MB8BROKER -n kerberos::kerberos -u clientId -p ClientPassword
Den Benutzernamen und das Kennwort, unter denen eine Verbindung zu einem sicheren WebSphere eXtreme Scale-Grid hergestellt wird, können Sie mit dem Befehl mqsisetdbparms festlegen. Der Name dieser Identität (in diesem Beispiel 'id1') wird vom konfigurierbaren WXSServer-Service verwendet.
mqsisetdbparms MB8BROKER -n wxs::id1 -u userId -p password