Los servicios de autentificación sólo tienen soporte entre aplicaciones cliente que utilizan WebSphere MQ Real-time Transport y los nodos WebSphere MQ Event Broker Real-timeInput y Real-timeOptimizedFlow.
Los servicios de autentificación de WebSphere MQ Event Broker comprueban si un intermediario y una aplicación cliente son lo que dicen ser y, por lo tanto, pueden participar en una sesión de publicación/suscripción.
Cada participante de la sesión utiliza un protocolo de autentificación para probar al otro que son lo que dicen ser y que no son intrusos haciéndose pasar por un participante válido.
El producto WebSphere MQ Event Broker soporta los cuatro protocolos siguientes:
Los dos primeros protocolos y sus requisitos de infraestructura de describen en los apartados Autentificación sencilla de contraseña de tipo telnet y Autentificación de desafío mutuo de respuesta de contraseña respectivamente. Los protocolos SSL asimétrico y simétrico están descritos en el apartado Autentificación de SSL.
Los protocolos varían en rigor, en términos de protección contra participantes que no sea válidos en la sesión; P es el menos fuerte y R es el más fuerte.
El conjunto de protocolos que puede soportar un intermediario específico en el dominio de intermediarios puede configurarse utilizando el área de trabajo. Se pueden especificar uno o más protocolos para cada intermediario. Utilice el área de trabajo para habilitar o inhabilitar la autentificación en cada nodo Real-timeInput que se haya definido para un intermediario en particular. Cuando se habilita la autentificación en un nodo Real-timeInput, dicho nodo soporta todo el conjunto de protocolos especificado para su correspondiente intermediario. Las opciones de configuración se muestran en los siguientes diagramas:
Este protocolo también puede describirse como sin cifrado debido a que la contraseña pasa por la red sin estar cifrada. La aplicación cliente conecta con el nodo Real-timeInput utilizando TCP/IP. El nodo de entrada solicita que el cliente se identifique. El cliente envía su "ID de usuario" y su contraseña.
Este sencillo protocolo se basa en el cliente y el intermediario que conocen la contraseña asociada a un ID de usuario. En particular, el intermediario necesita acceder a un depósito de información de usuarios y contraseñas. La información del ID de usuario y la contraseña la distribuye el Servidor de nombres de usuarios a todos los intermediarios de un dominio del producto WebSphere MQ Event Broker. El Servidor de nombres de usuarios extrae la información del usuario y la contraseña de un archivo del sistema operativo.
El método del Servidor de nombres de usuarios permite el mantenimiento centralizado del origen de usuarios y contraseñas, con la distribución automática de la información a intermediarios, y la renovación automática de la información si es necesario. También proporciona ventajas en cuanto a disponibilidad, puesto que la información sobre usuarios y contraseñas se mantiene de forma permanente en cada intermediario.
Cada aplicación cliente ha de conocer su propio ID de usuario y conservar en secreto su contraseña. Cuando se crea una conexión, un cliente especifica sus credenciales como una combinación de nombre y contraseña.
Este protocolo proporciona una seguridad relativamente débil. No calcula una clave de sesión y sólo debe utilizarse en entornos en los que no haya personas no autorizadas ni personas intermediarias no fiables.
En el caso en el la información de usuarios y contraseñas se almacena en un archivo plano en el sistema del servidor de nombres de usuarios, las contraseñas se almacenan y distribuyen "sin cifrado".
La carga de cálculo del cliente y el servidor es muy ligera.
Este protocolo es más sofisticado y seguro e implica la generación de una clave de sesión secreta. Tanto el cliente como el servidor calculan esta clave utilizando la contraseña del cliente. Se prueban el uno al otro que conocen esa clave secreta mediante un protocolo de tentativa y respuesta.
El cliente ha de satisfacer el desafío del servidor antes de que el servidor satisfaga el desafío del cliente. Esto significa que que un intruso haciéndose pasar por un cliente no puede reunir información para montar una contraseña "fuera de línea" pensando en un ataque. Tanto el cliente como el servidor se demuestran que conocen la contraseña, por lo que este protocolo no es vulnerable en ataques de "usurpación de personalidad".
Como en el caso del sencillo protocolo de tipo telnet, el intermediario ha de tener acceso a información de usuarios y contraseñas. La información sobre el ID de usuario y la contraseña la distribuye el servidor de nombres de usuarios a todos los intermediarios del dominio. El Servidor de nombres de usuarios extrae la información del usuario y la contraseña de un archivo del sistema operativo.
Cada aplicación cliente ha de conocer su propio ID de usuario y conservar en secreto su contraseña. Cuando se crea una conexión, un cliente especifica sus credenciales como una combinación de nombre y contraseña.
Las necesidades de cálculo en el cliente y el servidor son bastante modestas.
Conceptos relacionados
Autentificación de SSL
Servidor de nombres de usuarios
Tareas relacionadas
Utilización de autentificación para las conexiones Real-time
Implementación de la autentificación de SSL
Referencia relacionada
perspectiva Administración de intermediarios
Intercambios de autentificación de ejemplo
Autentificación simple de contraseña de tipo telnet
Autentificación mutua y simple de contraseña mediante respuesta a reto
Mandato mqsicreateusernameserver
Mandato mqsichangeusernameserver
Avisos |
Marcas registradas |
Descargas |
Biblioteca |
Soporte |
Información de retorno (feedback)
![]() ![]() |
aq01206_ |