Ativando a Segurança Baseada em Tópicos

Se seus aplicativos utilizarem os serviçosPublicação/Assinatura de um intermediário, você pode aplicar um nível adicional de segurança aos tópicos nos quais mensagens são publicadas e assinadas. Esta segurança baseada em tópicos é gerenciada peloServidor de Nome de Usuário.

Execute as seguintes etapas:

  1. Antes de criar um Servidor de Nome de Usuário, consulte Considerando a segurança para um Servidor de Nome de Usuário.
  2. Crie um Servidor de Nome de Usuário. Consulte Criando um Servidor de Nome de Usuário.
  3. Selecione o sinalizador -j e defina o parâmetro -s para o nome do gerenciador de filas para o Servidor de Nome de Usuário no comando mqsicreatebroker ou mqsichangebroker.
  4. Defina o parâmetro -s no comando mqsicreateconfigmgr ou mqsichangeconfigmgr para o nome do gerenciador de filas para o Servidor de Nome de Usuário.
  5. Crie ACLs para os tópicos que exijam segurança adicional. Para obter informações adicionais, consulte Segurança para Recursos de Tempo de Execução (uma tarefa do workbench).
  6. Certifique-se de que o ID do usuário de serviço do intermediário tenha autoridade para:
    1. Obter mensagens de cada fila de entrada incluída em um fluxo de mensagens
    2. Colocar mensagens em qualquer fila de saída, resposta e falha incluída em um fluxo de mensagens.
  7. Certifique-se de que os IDs dos usuários sob os quais os aplicativos de publicação e assinatura são executados tenham autoridade suficiente para colocar em, e obter de, filas de fluxo de mensagens:
    1. Autorize os aplicativos de publicação a colocarem mensagens na fila de entrada do fluxo de mensagens.
    2. Autorize os aplicativos que registram assinaturas a colocar na fila SYSTEM.BROKER.CONTROL.QUEUE.
    3. Autorize os aplicativos de assinatura a obter a partir da fila na qual as mensagens são publicadas.
    4. Autorize aplicativos de publicação e assinatura a obter a partir da fila de resposta.

Se estiver emitindo pedidos do Publicação/Assinatura a partir de um cliente JMS, opções de segurança adicionais estarão disponíveis. Consulte Autenticação SSL, Qualidade de Proteção e Serviços de Autenticação.

Vá para Considerando a segurança para um Configuration Manager.

Considerando a segurança para um Servidor de Nome de Usuário

Execute esta tarefa respondendo às seguinte questão:
Você ativou a segurança baseada em tópico em seu intermediário?
  1. Não: Vá para Considerando a segurança para um Configuration Manager.
  2. Sim: Você irá precisar de Servidor de Nome de Usuário. Vá para Decidindo quais contas de usuário podem executar comandos do Servidor de Nome de Usuário.

Decidindo quais contas de usuário podem executar comandos do Servidor de Nome de Usuário

Durante esta tarefa você decide quais permissões são requeridas para que os IDs dos usuários:
  • Criar, alterar, listar, excluir, iniciar e interromper um Servidor de Nome de Usuário
  • Exibir, recuperar e alterar informações de rastreio.

Responda as seguintes perguntas:

  1. Seu Servidor de Nome de Usuário está instalado em uma máquina UNIX?
    1. Não: Vá para a próxima pergunta.
    2. Sim: As informações sobre execução de comandos do Servidor de Nome de Usuário noUNIX ainda não estão disponíveis.

      Vá para Decidindo qual conta de usuário utilizar para o ID de serviço do Servidor de Nome de Usuário.

  2. Você está executando comandos doServidor de Nome de Usuário sob uma conta local do Windows?
    1. Não: Vá para a próxima pergunta.
    2. Sim: Suponha que sua conta local esteja em uma máquina chamada, por exemplo, WKSTN1. Quando criar umServidor de Nome de Usuário, assegure que seu ID de usuário está definido em seu domínio local.Quando criar ou iniciar um Servidor de Nome de Usuário, assegure que seu ID de usuário seja um membro de WKSTN1\Administrators.

      Vá para Decidindo qual conta de usuário utilizar para o ID de serviço do Servidor de Nome de Usuário.

  3. Você está executando comandos doServidor de Nome de Usuário sob uma conta de domínio doWindows?
    1. Sim: Suponha que sua máquina denominada, por exemplo, WKSTN1, seja membro de um domínio denominado DOMAIN1.Quando criar um Servidor de Nome de Usuário utilizando, por exemplo, DOMAIN1\user1, assegure que DOMAIN1\user1 seja um membro de WKSTN1\Administrators.

      Vá para Decidindo qual conta de usuário utilizar para o ID de serviço do Servidor de Nome de Usuário.

Decidindo qual conta de usuário utilizar para o ID de serviço do Servidor de Nome de Usuário

Quando você define o ID de serviço com a opção -i no comando mqsicreateusernameserver ou mqsichangeusernameserver, você determina o ID do usuário sob o qual o processo do componente Servidor de Nome de Usuário é executado.

Responda as seguintes perguntas:

  1. Seu Servidor de Nome de Usuário está instalado em uma máquina UNIX?
    1. Não: Vá para a próxima pergunta.
    2. Sim: As informações sobre execução de seu Servidor de Nome de Usuário no UNIX ainda não estão disponíveis.

      Vá para Definindo a segurança nas filas do Servidor de Nome de Usuário

  2. Deseja que seu Servidor de Nome de Usuário seja executado sob uma conta local do Windows?
    1. Não: Vá para a próxima pergunta.
    2. Sim: Assegure que seu ID de usuário seja definido em seu domínio local e que seja um membro de mqbrkrs.

      Vá para Definindo a segurança nas filas do Servidor de Nome de Usuário

  3. Deseja que seu Servidor de Nome de Usuário seja executado sobre uma conta de domínio do Windows?
    1. Sim: Suponha que sua máquina denominada, por exemplo, WKSTN1, seja membro de um domínio denominado DOMAIN1.Quando você executa um Servidor de Nome de Usuário utilizando, por exemplo, DOMAIN1\user1, assegure que: DOMAIN1\user1 é um membro de DOMAIN1\Domain mqbrkrs e se DOMAIN1\Domain mqbrkrs é um membro de WKSTN1\mqbrkrs.

      Vá para Definindo a segurança nas filas do Servidor de Nome de Usuário.

Definindo a segurança nas filas do Servidor de Nome de Usuário

Quando você executa o comando mqsicreateusernameserver, o grupo mqbrkrs obtém autoridade de acesso às seguintes filas:
  • SYSTEM.BROKER.SECURITY.QUEUE
  • SYSTEM.BROKER.MODEL.QUEUE
Apenas o intermediário e o Configuration Manager requerem acesso às filas do Servidor de Nome de Usuário.

Executando o Servidor de Nome de Usuário em um ambiente de domínio

Quando os usuários que emitem comandos de publicação e de assinatura são usuários de domínio, defina a opção -d no comando mqsicreateusernameserver como o domínio do qual esses usuários vêm. Todos os usuários que emitem comandos de publicação e assinatura devem originar-se no mesmo domínio.

Conceitos relacionados
Segurança para Recursos de Tempo de Execução

Tarefas relacionadas
Considerando a segurança para um Configuration Manager

Referências relacionadas
Requisitos de Segurança para Plataformas Windows
Comando mqsicreatebroker
Comando mqsichangebroker