WebSphere Message Broker, Versión 8.0.0.5 Sistemas operativos: AIX, HP-Itanium, Linux, Solaris, Windows, z/OS

Consulte la información sobre la última versión del producto en IBM Integration Bus, Versión 9.0

Consideraciones sobre la seguridad para un intermediario

Debe tener en cuenta varios factores a la hora de decidir qué usuarios pueden ejecutar mandatos del intermediario y qué usuarios pueden controlar la seguridad para los demás recursos del intermediario.

Aunque la mayor parte de la seguridad para el intermediario y los recursos de intermediario es opcional, quizás considere apropiado limitar las tareas que pueden realizar algunos ID de usuario. De esta forma puede tener un mayor control de los cambios en la supervisión.

Puede controlar todas las tareas de administración de intermediarios habilitando la seguridad de administración de intermediarios al crear un intermediario. También puede cambiar los intermediarios existentes para habilitar la seguridad en la administración. Esta opción se describe en Configurar la seguridad de administración, y es independiente de las opciones que se describen en esta sección.

Cuando decide qué usuarios deben realizar las diferentes tareas, tenga en cuenta los pasos siguientes:

  1. Cómo decidir qué cuenta de usuario utilizar para el ID de servicio de intermediario
  2. Establecimiento de la seguridad en las colas del intermediario
  3. Protección del registro de intermediario

Cómo decidir qué cuenta de usuario utilizar para el ID de servicio de intermediario

En un sistema operativo Linux o UNIX, cuando ejecuta el mandato mqsistart con cualquier ID de usuario que es miembro de los grupos mqm y mqbrkrs, el ID de usuario en el que ejecuta el mandato mqsistart se convierte en el ID de usuario en el que se ejecuta el proceso del componente del intermediario.

En la plataforma Windows el intermediario se ejecuta bajo una cuenta de usuario de servicio. Para decidir qué ID de usuario se va a utilizar para el ID de servicio de intermediario, responda a las preguntas siguientes:

  1. ¿Desea que el intermediario se ejecute bajo una cuenta local de Windows?
    1. No: vaya a la siguiente pregunta.
    2. Sí: Asegúrese de que el ID de usuario tenga las características siguientes:
      • Está definido en el dominio local.
      • Es miembro del grupo mqbrkrs.

      Vaya a Establecimiento de la seguridad en las colas del intermediario.

  2. ¿Desea que el intermediario se ejecute bajo una cuenta de dominio de Windows?
    1. No: vaya a la siguiente pregunta.
    2. Sí: Suponga que el sistema denominado WKSTN1, por ejemplo, es miembro de un dominio denominado DOMAIN1. Cuando ejecutar un intermediario utilizando, por ejemplo, DOMAIN1\user1, asegúrese de que:
      • El ID de usuario ha recibido el privilegio Iniciar sesión como un servicio (de la política de seguridad local).
      • DOMAIN1\user1 es un miembro del grupo DOMAIN1\MyDomainGroup, donde MyDomainGroup es un grupo de dominios que ha definido en el controlador de dominios.
      • DOMAIN1\MyDomainGroup es un miembro de WKSTN1\mqbrkrs.

      Vaya a Establecimiento de la seguridad en las colas del intermediario.

  3. ¿Desea que el intermediario se ejecute bajo la cuenta LocalSystem incorporada de Windows?
    1. Sí: especifique LocalSystem para el parámetro –i en el mandato mqsicreatebroker o mqsichangebroker.

      En cualquier caso, debe especificar el parámetro –a (contraseña) en la línea de mandatos pero se hará caso omiso del valor entrado.

      Vaya a Establecimiento de la seguridad en las colas del intermediario.

Tenga en cuenta que para los casos uno y dos anteriores, el ID de usuario elegido debe disponer del privilegio Iniciar sesión como un servicio.

Normalmente lo consigue automáticamente mediante el mandato mqsichangebroker o el mandato mqsichangeproperties cuando se ha especificado un ID de usuario de servicio que no dispone de este privilegio.

Sin embargo, si desea hacerlo manualmente antes de ejecutar estos mandatos, puede hacerlo utilizando la herramienta Política de seguridad local en Windows, a la que accede seleccionando Panel de control > Rendimiento y mantenimiento > Herramientas administrativas > Política de seguridad local.

Establecimiento de la seguridad en las colas del intermediario

Cuando se ejecuta el mandato mqsicreatebroker, el grupo mqbrkrs local recibe autorización para acceder a las colas internas cuyos nombres empiezan por los caracteres SYSTEM.BROKER.

Protección del registro de intermediario

La operación de intermediarios depende de la información en el registro del intermediario, la cual debe guardarse ante posibles casos de corrupción accidental. El registro del intermediario se almacena en el sistema de archivos. Establezca las opciones de seguridad del sistema operativo de forma que sólo los ID de usuario que son miembros del grupo mqbrkrs puedan leer o grabar en NombreIntermediario/VersiónActual y en todas las subclaves.

Avisos | Marcas registradas | Descargas | Biblioteca | Soporte | Comentarios

Copyright IBM Corporation 1999, 2014Copyright IBM Corporation 1999, 2014.

        
        Última actualización:
        
        Última actualización: 2015-02-28 17:00:15


Tema de tareaTema de tarea | Versión 8.0.0.5 | ap03982_