WebSphere Message Broker, Versión 8.0.0.5 Sistemas operativos: AIX, HP-Itanium, Linux, Solaris, Windows, z/OS

Consulte la información sobre la última versión del producto en IBM Integration Bus, Versión 9.0

Visión general de la seguridad de administración

La seguridad de administración de intermediarios controla los derechos de los usuarios para realizar tareas administrativas para un intermediario y sus recursos.

La seguridad de administración de intermediarios es una característica opcional del intermediario. Cuando crea un intermediario, el valor predeterminado es que la seguridad de administración de intermediarios no está habilitada. Al crear el intermediario, puede especificar un parámetro adicional para habilitar la seguridad. También puede cambiar el estado de la seguridad de administración de intermediarios después de haber creado el intermediario y, por tanto, la puede habilitar o inhabilitar según le convenga.

Cuando haya habilitado la seguridad de administración de intermediarios, configure el control de la seguridad registrando los permisos de WebSphere MQ para ID de usuario específicos. Los permisos se registran en las siguientes colas de autorización que están definidas en el gestor de colas del intermediario:

Cuando se crea un intermediario, se crea la cola SYSTEM.BROKER.AUTH. Las autorizaciones de lectura, grabación y ejecución se otorgan automáticamente al grupo de usuarios mqbrkrs en esta cola. Esta cola se crea incluso si no se habilita la seguridad en este momento.

Si habilita la seguridad, el intermediario comprueba las autorizaciones que ha configurado en esta cola cuando recibe una solicitud que visualiza o cambia sus propiedades o recursos. Si el ID de usuario asociado con la solicitud no está autorizado, el intermediario rechaza la solicitud.

Cuando crea un grupo de ejecución en un intermediario para el que ha habilitado la seguridad, se crea la cola de autorización de grupo de ejecución SYSTEM.BROKER.AUTH.EG, donde EG es el nombre del grupo de ejecución. Las autorizaciones de lectura, grabación y ejecución se otorgan automáticamente al grupo de usuarios mqbrkrs en esta cola.

Si va a migrar desde WebSphere Message Broker Versión 6.1, y utiliza Listas de control de accesos (ACL) que define en el Gestor de configuración, no puede migrar las ACL directamente a versiones posteriores de WebSphere Message Broker. Revise las instrucciones proporcionadas en Migración de las ACL de Gestor de configuración para entender cómo configurar la seguridad utilizando las ACL como base para la seguridad en el entorno de WebSphere Message Broker posterior.

Consulte los temas siguientes para obtener más información sobre permisos y colas:

Autorización en z/OS

En z/OS, WebSphere MQ utiliza SAF (System Authorization Facility) para direccionar las solicitudes de comprobaciones de autorización a un gestor de seguridad externo (ESM) como, por ejemplo, z/OS Security Server Resource Access Control Facility (RACF). WebSphere MQ no realiza comprobaciones de autorización por su cuenta. Toda la información sobre la seguridad de administración de intermediarios en z/OS da por supuesto que se utiliza RACF como ESM. Si utiliza un ESM diferente, tal vez tenga que interpretar la información proporcionada para RACF de una manera que sea relevante para el ESM.

Si está activando la seguridad en el gestor de colas de WebSphere MQ en z/OS por primera vez, debe configurar los perfiles u otros recursos que el ESM necesita para acceder a las colas. También debe comprobar que el gestor de colas se ha configurado para acceder a los perfiles de seguridad en la clase correcta; MQQUEUE para nombres de cola en mayúsculas y minúsculas y MXQUEUE para nombres de cola con una combinación de mayúsculas y minúsculas.

Para obtener más información sobre la seguridad y los perfiles de seguridad de los gestores de colas, consulte los apartados z/OS System Administration Guide y z/OS System Setup Guide de Centro de información en línea de WebSphere MQ Versión 7.

Comprobación de autorizaciones

Si ha activado la seguridad de administración de intermediarios, todas las acciones realizadas por los usuarios de las interfaces siguientes están sujetas a la comprobación de autorización:

Los usuarios de WebSphere Message Broker Explorer y WebSphere Message Broker Toolkit que no tienen autorización de lectura, grabación y ejecución para el intermediario o los grupos de ejecución sólo tienen acceso restringido a esos recursos. Un icono aparece en el recurso para indicar que la autorización de usuario está restringida. Las acciones que el usuario puede solicitar en un recurso corresponde a la autoridad restringida vigente para ese usuario.

Persistencia de autorizaciones

Si un ID de usuario tiene concedida autorización para acceder a un intermediario, el acceso se mantiene al menos hasta que finaliza la conexión o sesión actual por uno de los sucesos siguientes:

Aunque actualice o elimine la autorización de este ID de usuario, la autorización no cambia mientras la conexión está activa.

Sin embargo, siempre se comprueba la autorización para operaciones con grupos de ejecución y flujos de mensajes; si cambia o elimina la autorización de un ID de usuario para un grupo de ejecución, las posteriores solicitudes de la conexión actual pueden fallar.

Seguridad de administración adicional

En el entorno, una comprobación en el ID de usuario que realice una solicitud podría no proporcionar un nivel suficiente de seguridad. Si necesita una solución más segura, una o ambas de las siguientes opciones están disponibles:

Avisos | Marcas registradas | Descargas | Biblioteca | Soporte | Comentarios

Copyright IBM Corporation 1999, 2014Copyright IBM Corporation 1999, 2014.

        
        Última actualización:
        
        Última actualización: 2015-02-28 17:01:39


Tema de conceptoTema de concepto | Versión 8.0.0.5 | bp43500_