WebSphere Message Broker, Versión 8.0.0.5 Sistemas operativos: AIX, HP-Itanium, Linux, Solaris, Windows, z/OS

Consulte la información sobre la última versión del producto en IBM Integration Bus, Versión 9.0

Comprobación de host conocido

Utilice la comprobación de host conocido para controlar con qué hosts se puede conectar el intermediario y para verificar la identidad de esos hosts.

La comprobación de hosts conocidos permite que el intermediario proteja los mensajes en el flujo de mensajes de intentos no autorizados de interceptar los datos (a veces conocido con el nombre de ataques MITM ("man-in-the-middle" o de interceptación)). Los archivos de hosts conocidos contienen las claves SSH de los hosts a las que se puede conectar el intermediario. En sistemas z/OS, los archivos de hosts conocidos y los archivos de identidad SSH están almacenados en formato EBCDIC y en otros sistemas operativos están almacenados en formato ASCII.

Antes de conectarse a un host para recibir o transferir archivos (utilizando los nodos FileInput o FileOutput), el intermediario comprueba de nuevo las claves de host respecto de las claves almacenadas en el archivo de hosts conocido. Si la clave de host no coincide con ninguna entrada existente del host en el archivo de hosts conocidos, fallará la conexión. Si el host es nuevo (y no tiene ninguna entrada en el archivo de hosts conocido), el resultado dependerá de si se activa o se desactiva la comprobación de hosts conocidos estricta.

Puede especificar si se activa o se desactiva la comprobación de hosts conocidos estricta estableciendo el parámetro strictHostKeyChecking del mandato mqsicreateconfigurableservice o del servicio configurable FtpServer. Para obtener más información sobre los valores que se pueden especificar con un servicio FtpServer configurable, consulte Servicio configurable FtpServer.

Comprobación de host conocido estricta

Cuando se activa la comprobación de host conocido estricta (estableciendo el parámetro strictHostKeyChecking en ), el intermediario se conecta solamente a los hosts conocidos con claves de host SSH válidas que están almacenadas en el archivo de hosts conocido. Si utiliza la comprobación de hosts conocidos estricta, deberá crear su propio archivo de hosts conocidos, en formato OpenSSH, que contiene las claves SSH de los hosts fiables. Especifique la ubicación del archivo de hosts conocidos utilizando el parámetro knownHostsFile del mandato mqsicreateconfigurableservice. Cuando el intermediario intenta realizar una conexión a un host, comprueba la clave del host con el contenido del archivo de hosts conocidos. Si la clave no se encuentra en el archivo de hosts conocidos, fallará la conexión y se producirá el error BIP3371.

Puede tener diversos archivos hosts conocidos y especificar uno distinto para cada nodo o servicio configurable. Los archivos hosts conocidos que proporcione para la comprobación de hosts conocidos estricta no los modifica el intermediario.

Comprobación de hosts conocidos no estricta

Cuando se desactiva la comprobación de hosts conocidos estricta (estableciendo el parámetro strictHostKeyChecking en No) el intermediario se conecta solamente a los hosts conocidos con claves válidas o a los hosts nuevos a los que no se haya conectado antes. Si el intermediario intenta conectarse a un host nuevo (al cual no se ha conectado anteriormente), el intermediario realiza la conexión, acepta la clave SSH del host y la almacena en el archivo de hosts conocidos. Cuando el intermediario intenta conectarse al mismo host en posteriores ocasiones, se comprueba la clave host con la clave almacenada en el archivo de hosts conocidos y, si coincide la clave, se realiza la conexión. Sin embargo, si la clave host es distinta a la que hay almacenada en el archivo de hosts conocidos, el intento de conexión fallará y se emitirá el error BIP3371.

Cuando se desactiva la comprobación de hosts conocidos estricta, el archivo de hosts conocidos lo gestiona el intermediario. Haye un host del archivo de hosts conocidos gestionados por el intermediario para cada grupo de ejecución.

Mensaje de error BIP3371

El mensaje de error BIP3371 puede indicar que se ha producido un intento sin autorización de interceptar un mensaje. Sin embargo, la anomalía de la conexión (y el mensaje de error BIP3371 resultante) puede venir causado por una modificación en la clave SSH del host en algún momento después de la primera conexión al intermediario. Por ejemplo, si se ha vuelto a instalar el servidor SSH, se le asigna una clave nueva que no se encuentra en el archivo de hosts conocidos y que, por tanto, el intermediario no aceptará. Como resultado, fallará la conexión y aparecerá el mensaje de error BIP3371.

Si sabe que la clave de host SSH se ha modificado (como resultado de una reinstalación reciente del servidor SSH, por ejemplo) puede resolver la anomalía de conexión modificando el archivo de hosts conocidos:
  1. Detenga el flujo de mensajes.
  2. Edite el archivo de hosts conocidos:
    • Si ha activado la comprobación de hosts conocidos estricta, corrija la entrada del host en el archivo de hosts conocidos que ha especificado en el parámetro knownHostsFile del mandato mqsicreateconfigurableservice.
    • Si ha desactivado la comprobación de hosts conocidos estricta, elimine la entrada de host del archivo de hosts conocidos gestionados por el intermediario. El archivo de los hosts conocidos se encuentra en el subdirectorio \components\BROKERNAME-NAME\EG-UID\config\known_hosts del directorio donde se ha instalado WebSphere Message Broker. Por ejemplo, en Windows, el directorio predeterminado es C:\Documents and Settings\All Users\Datos de programa\IBM\MQSI\components\BROKERNAME-NAME\EG-UID\config\known_hosts. En UNIX, el directorio predeterminado es /var/mqsi/components/BROKERNAME-NAME/EG-UID/config/known_hosts.

      Cuando el intermediario intenta la reconexión, añade la clave host al archivo de hosts conocidos.

  3. Reinicie el flujo de mensajes.
Avisos | Marcas registradas | Descargas | Biblioteca | Soporte | Comentarios

Copyright IBM Corporation 1999, 2014Copyright IBM Corporation 1999, 2014.

        
        Última actualización:
        
        Última actualización: 2015-02-28 16:58:45


Tema de conceptoTema de concepto | Versión 8.0.0.5 | ac55438_