Ativando a Segurança Baseada em Tópicos

Se seus aplicativos utilizarem os serviços de um intermediário, você pode aplicar um nível adicional de segurança aos tópicos nos quais mensagens são publicadas e assinadas. Esta segurança baseada em tópicos é gerenciada pelo.

Execute as seguintes etapas:

  1. Antes de criar um , consulte Considerando a segurança para um.
  2. Crie um . Consulte Criando um.
  3. Selecione o sinalizador -j e defina o parâmetro -s para o nome do gerenciador de filas para o no comando ou .
  4. Defina o parâmetro -s no comando ou para o nome do gerenciador de filas para o .
  5. Crie ACLs para os tópicos que exijam segurança adicional. Para obter informações adicionais, consulte Segurança para Recursos de Tempo de Execução (uma tarefa do ).
  6. Certifique-se de que o ID do usuário de serviço do intermediário tenha autoridade para:
    1. Obter mensagens de cada fila de entrada incluída em um fluxo de mensagens
    2. Colocar mensagens em qualquer fila de saída, resposta e falha incluída em um fluxo de mensagens.
  7. Certifique-se de que os IDs dos usuários sob os quais os aplicativos de publicação e assinatura são executados tenham autoridade suficiente para colocar em, e obter de, filas de fluxo de mensagens:
    1. Autorize os aplicativos de publicação a colocarem mensagens na fila de entrada do fluxo de mensagens.
    2. Autorize os aplicativos que registram assinaturas a colocar na fila SYSTEM.BROKER.CONTROL.QUEUE.
    3. Autorize os aplicativos de assinatura a obter a partir da fila na qual as mensagens são publicadas.
    4. Autorize aplicativos de publicação e assinatura a obter a partir da fila de resposta.

Se estiver emitindo pedidos do a partir de um cliente JMS, opções de segurança adicionais estarão disponíveis. Consulte Autenticação SSL, Qualidade de Proteção e Serviços de Autenticação.

Vá para Considerando a segurança para um.

Considerando a segurança para um

Execute esta tarefa respondendo às seguinte questão:
Você ativou a segurança baseada em tópico em seu intermediário?
  1. Não: Vá para Considerando a segurança para um.
  2. Sim: Você irá precisar de . Vá para Decidindo quais contas de usuário podem executar comandos do.

Decidindo quais contas de usuário podem executar comandos do

Durante esta tarefa você decide quais permissões são requeridas para que os IDs dos usuários:
  • Criar, alterar, listar, excluir, iniciar e interromper um
  • Exibir, recuperar e alterar informações de rastreio.

Responda as seguintes perguntas:

  1. Seu está instalado em uma máquina ?
    1. Não: Vá para a próxima pergunta.
    2. Sim: As informações sobre execução de comandos do no ainda não estão disponíveis.

      Vá para Decidindo qual conta de usuário utilizar para o ID de serviço do.

  2. Você está executando comandos do sob uma conta local do ?
    1. Não: Vá para a próxima pergunta.
    2. Sim: Suponha que sua conta local esteja em uma máquina chamada, por exemplo, WKSTN1. Quando criar um, assegure que seu ID de usuário está definido em seu domínio local.Quando criar ou iniciar um , assegure que seu ID de usuário seja um membro de WKSTN1\Administrators.

      Vá para Decidindo qual conta de usuário utilizar para o ID de serviço do.

  3. Você está executando comandos do sob uma conta de domínio do?
    1. Sim: Suponha que sua máquina denominada, por exemplo, WKSTN1, seja membro de um domínio denominado DOMAIN1.Quando criar um utilizando, por exemplo, DOMAIN1\user1, assegure que DOMAIN1\user1 seja um membro de WKSTN1\Administrators.

      Vá para Decidindo qual conta de usuário utilizar para o ID de serviço do.

Decidindo qual conta de usuário utilizar para o ID de serviço do

Quando você define o ID de serviço com a opção -i no comando ou , você determina o ID do usuário sob o qual o processo do componente é executado.

Responda as seguintes perguntas:

  1. Seu está instalado em uma máquina ?
    1. Não: Vá para a próxima pergunta.
    2. Sim: As informações sobre execução de seu no ainda não estão disponíveis.

      Vá para Definindo a segurança nas filas do

  2. Deseja que seu seja executado sob uma conta local do ?
    1. Não: Vá para a próxima pergunta.
    2. Sim: Assegure que seu ID de usuário seja definido em seu domínio local e que seja um membro de mqbrkrs.

      Vá para Definindo a segurança nas filas do

  3. Deseja que seu seja executado sobre uma conta de domínio do ?
    1. Sim: Suponha que sua máquina denominada, por exemplo, WKSTN1, seja membro de um domínio denominado DOMAIN1.Quando você executa um utilizando, por exemplo, DOMAIN1\user1, assegure que: DOMAIN1\user1 é um membro de DOMAIN1\Domain mqbrkrs e se DOMAIN1\Domain mqbrkrs é um membro de WKSTN1\mqbrkrs.

      Vá para Definindo a segurança nas filas do.

Definindo a segurança nas filas do

Quando você executa o comando , o grupo mqbrkrs obtém autoridade de acesso às seguintes filas:
  • SYSTEM.BROKER.SECURITY.QUEUE
  • SYSTEM.BROKER.MODEL.QUEUE
Apenas o intermediário e o requerem acesso às filas do .

Executando o em um ambiente de domínio

Quando os usuários que emitem comandos de publicação e de assinatura são usuários de domínio, defina a opção -d no comando como o domínio do qual esses usuários vêm. Todos os usuários que emitem comandos de publicação e assinatura devem originar-se no mesmo domínio.

Conceitos relacionados
Segurança para Recursos de Tempo de Execução

Tarefas relacionadas
Considerando a segurança para um

Referências relacionadas
Requisitos de Segurança para Plataformas
Comando mqsicreatebroker
Comando mqsichangebroker