WebSphere Message Broker, Versión 8.0.0.5 Sistemas operativos: AIX, HP-Itanium, Linux, Solaris, Windows, z/OS

Consulte la información sobre la última versión del producto en IBM Integration Bus, Versión 9.0

Habilitar la seguridad de administración

Habilite la seguridad de administración en un intermediario para controlar qué usuarios pueden completar tareas específicas en ese intermediario y sus recursos.

Opcionalmente, puede habilitar la seguridad de administración para un intermediario cuando lo cree. Si decide habilitar la seguridad administrativa después de haber creado el intermediario, puede cambiar la propiedad correspondiente del intermediario.

Cuando crea o modifica un intermediario, el ID de usuario debe ser miembro del grupo de control mqm de WebSphere MQ.

  1. Para habilitar la seguridad de administración del intermediario cuando cree el intermediario, seleccione la opción de seguridad en el asistente "Crear intermediario" en WebSphere Message Broker Explorer, o especifique el parámetro -s active en el mandato mqsicreatebroker. Por ejemplo, para crear un intermediario llamado MB8BROKER con la seguridad habilitada en AIX, entre el mandato siguiente:
    mqsicreatebroker MB8BROKER -q MB8QMGR -s active 
    El intermediario crea la cola de autorización SYSTEM.BROKER.AUTH. Esta cola se utiliza para definir qué usuarios están autorizados a realizar una acción en el intermediario.

    El intermediario también asigna permisos predeterminados de autorización para preguntar, colocar y establecer en esta cola. Estos permisos otorgan autorización de lectura, grabación y ejecución en el intermediario a todos los miembros del grupo mqbrkrs. Por lo tanto, debe asegurarse de que al menos un miembro del equipo de administración de intermediario es miembro de este grupo. También debe gestionar la pertenencia a este grupo con cuidado y asegurarse de que este nivel de autorización sólo se otorgue a los usuarios que lo requieran.

    En z/OS, estos permisos se implementan como niveles de autorización en el gestor de seguridad externo (ESM) que utilice con WebSphere MQ. Si está utilizando RACF como ESM, los niveles son jerárquicos: por ejemplo, el acceso ALTER implica el acceso READ y WRITE. Por lo tanto, debe comprobar la documentación para el ESM para comprender los niveles de autorización que soporta. En plataformas distribuidas, no existe jerarquía equivalente y los tres permisos son independientes.

  2. Para habilitar la seguridad de administración del intermediario en un intermediario existente:
    1. Detenga el intermediario en WebSphere Message Broker Explorer, o ejecute el mandato mqsistop.
    2. Seleccione la opción de seguridad para este intermediario en WebSphere Message Broker Explorer, o bien ejecute el mandato mqsichangebroker, especificando el parámetro -s active. Por ejemplo, para habilitar la seguridad del intermediario MB8BROKER, entre el mandato siguiente:
      mqsichangebroker MB8BROKER -s active 
      El intermediario crea una cola para cada grupo de ejecución definido, con un nombre que se ajusta al formato SYSTEM.BROKER.AUTH.EG, donde EG es el nombre del grupo de ejecución. Asigna permisos predeterminados de autorización de preguntar, colocar y establecer a la cola, que otorga acceso de lectura, grabación y ejecución al grupo de ejecución y sus propiedades, para el grupo mqbrkrs. Estas colas y la cola de autorización de intermediario SYSTEM.BROKER.AUTH están ahora listas para su uso.

      Los nombres de las colas que se generan para los grupos de ejecución podría no coincidir exactamente con el nombre de los grupos de ejecución, porque WebSphere MQ impone algunas limitaciones en los nombres de colas de autorización. Para obtener detalles sobre estas restricciones, y los posibles efectos, consulte Colas de autorización para la seguridad de administración del intermediario.

    3. Inicie el intermediario en WebSphere Message Broker Explorer, o ejecute el mandato mqsistart.
  3. Compruebe que el ID de usuario bajo el que el intermediario se ejecuta es miembro del grupo de seguridad mqm de WebSphere MQ. Sin esta autorización, el intermediario no puede crear o suprimir las colas de autorización para grupos de ejecución en el tiempo de ejecución.

    Dado que la autorización mqm otorga control de acceso completo a todos los recursos de WebSphere MQ, quizá no desee ejecutar el intermediario con este nivel de autorización. Si no desea que el intermediario se ejecute con la autorización mqm, debe trabajar con el administrador de WebSphere MQ para asegurarse de que se creen (y se supriman) las colas necesarias en el momento adecuado.

    Si desea dar autorización mqm al intermediario:

    • En los sistemas Linux y UNIX, añada a mqm el ID de usuario que inició el intermediario.
    • En Windows, añada a mqm el ID de usuario que ha especificado como ID de usuario de servicio. Cuando se añade este ID de usuario, el mismo nivel de autorización se otorga a todos los ID de usuario definidos en el mismo grupo primario. Por lo tanto debe controlar cuidadosamente los miembros del grupo para asegurarse de que no se conceda el acceso al ID de usuario que no lo necesita.
    • En z/OS, otorgue permisos equivalentes al ID de usuario de la tarea iniciada.
  4. Compruebe también que el ID de usuario asociado con el intermediario, definido en el paso anterior, tiene autorización altuser de WebSphere MQ. El intermediario necesita esta autorización para solicitar WebSphere MQ para comprobar las autorizaciones.

    Muestre entradas de registro para un intermediario utilizando mqsireportbroker nombreIntermediario.

A continuación: otorgue autorización a los usuarios para reflejar qué tareas desea que puedan realizar, rellenando las colas con los detalles adecuados. Esta tarea se describe en Autorizar usuarios para la administración.
Avisos | Marcas registradas | Descargas | Biblioteca | Soporte | Comentarios

Copyright IBM Corporation 1999, 2014Copyright IBM Corporation 1999, 2014.

        
        Última actualización:
        
        Última actualización: 2015-02-28 17:01:39


Tema de tareaTema de tarea | Versión 8.0.0.5 | bp43600_