Cree un perfil de seguridad para utilizarlo con LDPA (Lightweight Directory Access Protocol) o LDAPS (LDAP seguro), utilizando el mandato mqsicreateconfigurableservice o un editor en WebSphere Message Broker Explorer.
Antes de empezar:
Si el directorio LDAP no permite el inicio de sesión por parte de ID de usuarios no reconocidos y no otorga derechos de acceso de búsqueda en el subárbol, también debe configurar un ID de inicio de sesión autorizado independiente al que el intermediario puede utilizar para la búsqueda. Para obtener información sobre cómo realizar esta acción, consulte Configuración de la autorización con LDAP o Configuración de la autenticación con LDAP.
Puede utilizar el mandato mqsicreateconfigurableservice para crear un perfil de seguridad que utiliza LDAP para la autenticación y/o autorización. El perfil de seguridad asegura que cada mensaje tenga un ID autenticado y esté autorizado para el flujo de mensaje.
mqsicreateconfigurableservice WBRK_BROKER -c SecurityProfiles -o LDAP
-n authentication,authenticationConfig,authorization,authorizationConfig,propagation,rejectBlankpassword
-v "LDAP,\"ldap://ldap.acme.com:389/ou=sales,o=acme.com\",LDAP,
\"ldap://ldap.acme.com:389/cn=All Sales,ou=acmegroups,o=acme.com\",TRUE,TRUE
Debe escribir el URL de LDAP (que contiene comas) con comillas dobles con carácter de escape (\" y \") para que las comas de URL no se confundan con el separador de coma del parámetro de valor de mqsicreateconfigurableservice.
Si el URL de LDAP incluye un nombre de elemento con un espacio, en este caso cn=All Sales, el conjunto de valores después del indicador -v se debe escribir entre comillas dobles, (")
Para obtener más información sobre la estructura del mandato, consulte Mandato mqsicreateconfigurableservice.
Puede definir las partes específicas de seguridad del mandato de la manera siguiente:
ldap[s]://server[:port]/baseDN[?[uid_attr][?[base|sub]]]
Por ejemplo:
ldap://ldap.acme.com:389/ou=sales,o=acme.com
ldaps://localhost:636/ou=sales,o=acme?cn?base
ldap[s]://servidor[:puerto]/DNgrupo[?[atr_miembro]
[?[base|sub][?[x-userBaseDN=DNbase,
x-uid_attr=uid_attr]]]]
Por ejemplo:
ldap://ldap.acme.com:389/cn=All Sales,ou=acmegroups,
o=acme.com?uniquemember?sub?x-userBaseDN=ou=sales%2co=ibm.com,
x-uid_attr=emailaddress
mqsicreateconfigurableservice WBRK_BROKER -c SecurityProfiles -o LDAP_URI_FUN
-n authentication,authenticationConfig,authorization,authorizationConfig -v
"LDAP,\"ldap://ldap.acme.com:389/ou=sales,o=acme.com?emailaddress?sub\",
LDAP,\"ldap://ldap.acme.com:389/cn=All Sales,ou=acmegroups,
o=acme.com?report?base?x-BaseDN=ou=sales%%2co=acme.com,
x-uid_attr=emailaddress\""
El grupo seleccionado se debe definir en el servidor LDAP y todos los usuarios necesarios deben ser miembros del grupo.
Los valores que entra en los campos de Parámetros de LDAP crean una serie de configuración, que se visualiza en el campo Configuración de autenticación. Para obtener información sobre los valores válidos de los parámetros, consulte Creación de un perfil de seguridad utilizando mqsicreateconfigurableservice.
El valor que especifica en el campo de Configuración TFIM crea una serie de configuración, que se visualiza en el campo de Configuración de correlación.
Los valores que entra en los campos Parámetros de LDAP crean una serie de configuración, que se visualiza en el campo Configuración de autorización. Para obtener información sobre los valores válidos de los parámetros, consulte Creación de un perfil de seguridad utilizando mqsicreateconfigurableservice.
Para suprimir un perfil de seguridad existente, seleccione el perfil en la lista y, a continuación, pulse Suprimir.