Habilitación de la seguridad basada en temas

Si sus aplicaciones utilizan los servicios de publicación/suscripción de un intermediario, puede aplicar un nivel de seguridad adicional a los temas sobre los cuales se publican y suscriben mensajes. La seguridad basada en temas la gestiona el Servidor de nombres de usuarios.

Siga estos pasos:

  1. Antes de crear un Servidor de nombres de usuarios, consulte el apartado Consideraciones de seguridad para un Servidor de nombres de usuarios.
  2. Cree un Servidor de nombres de usuarios. Consulte el apartado Creación de un Servidor de nombres de usuarios.
  3. Seleccione el distintivo -j y establezca el parámetro -s en el nombre del gestor de colas para el Servidor de nombres de usuarios en el mandato mqsicreatebroker o el mandato mqsichangebroker.
  4. Establezca el parámetro -s del mandato mqsicreateconfigmgr o del mandato mqsichangeconfigmgr en el nombre del gestor de colas para el Servidor de nombres de usuarios.
  5. Cree listas ACL para los temas que requieran seguridad adicional. Para más información, consulte el apartado Seguridad para recursos de ejecución (una tarea del área de trabajo).
  6. Asegúrese de que el ID de usuario de servicio del intermediario tiene autorización para:
    1. Obtener mensajes de cada cola de entrada incluida en un flujo de mensajes
    2. Transferir mensajes a cualquier cola de salida, respuestas y anomalías incluida en un flujo de mensajes.
  7. Asegúrese de que los ID de usuario bajo los cuales se ejecutan las aplicaciones de publicación y suscripción tienen suficiente autorización para transferir y obtener en las colas de flujos de mensajes:
    1. Autorice a las aplicaciones de publicación a transferir mensajes a la cola de entrada del flujo de mensajes.
    2. Autorice a las aplicaciones que registran suscripciones a efectuar transferencias a la cola SYSTEM.BROKER.CONTROL.QUEUE.
    3. Autorice a las aplicaciones de suscripción a obtener mensajes de la cola para la que se publican mensajes.
    4. Autorice a las aplicaciones de publicación y suscripción a obtener mensajes de la cola de respuestas.

Si está emitiendo peticiones de publicación/suscripción desde un cliente JMS, dispondrá de más opciones de seguridad. Consulte los apartados Autentificación de SSL, Calidad de la protección y Servicios de autentificación.

Vaya al apartado Consideraciones de seguridad para un Gestor de configuración.

Consideraciones de seguridad para un Servidor de nombres de usuarios

Realice esta tarea respondiendo a la siguiente pregunta:
¿Ha habilitado la seguridad basada en temas en su intermediario?
  1. No: vaya al apartado Consideraciones de seguridad para un Gestor de configuración.
  2. Sí: necesita un Servidor de nombres de usuarios. Vaya al apartado Cómo decidir qué cuentas de usuario pueden ejecutar mandatos del Servidor de nombres de usuarios.

Cómo decidir qué cuentas de usuario pueden ejecutar mandatos del Servidor de nombres de usuarios

Durante esta tarea se decide qué permisos se requieren para los ID de usuario que:
  • Crean, modifican, listan, suprimen, inician y detienen un Servidor de nombres de usuarios
  • Visualizan, recuperan y modifican información de rastreo.

Responda a las siguientes preguntas:

  1. ¿Está instalado su Servidor de nombres de usuarios en una máquina UNIX?
    1. No: vaya a la siguiente pregunta.
    2. Sí: la información sobre la ejecución de mandatos del Servidor de nombres de usuarios en UNIX aún no está disponible.

      Vaya al apartado Cómo decidir qué cuenta de usuario utilizar para el ID de servicio del Servidor de nombres de usuarios.

  2. ¿Está ejecutando mandatos del Servidor de nombres de usuarios bajo una cuenta local de Windows?
    1. No: vaya a la siguiente pregunta.
    2. Sí: presuponga que su cuenta local se encuentra en una máquina llamada, por ejemplo, WKSTN1. Cuando cree un Servidor de nombres de usuarios, asegúrese de que su ID de usuario está definido en el dominio local. Cuando cree o inicie un Servidor de nombres de usuarios, asegúrese de que su ID de usuario es miembro de WKSTN1\Administrators.

      Vaya al apartado Cómo decidir qué cuenta de usuario utilizar para el ID de servicio del Servidor de nombres de usuarios.

  3. ¿Está ejecutando mandatos del Servidor de nombres de usuarios bajo una cuenta de dominio de Windows?
    1. Sí: presuponga que su máquina llamada, por ejemplo, WKSTN1, es miembro de un dominio llamado DOMAIN1. Cuando cree un Servidor de nombres de usuarios utilizando, por ejemplo, DOMAIN1\user1, asegúrese de que DOMAIN1\user1 es miembro de WKSTN1\Administrators.

      Vaya al apartado Cómo decidir qué cuenta de usuario utilizar para el ID de servicio del Servidor de nombres de usuarios.

Cómo decidir qué cuenta de usuario utilizar para el ID de servicio del Servidor de nombres de usuarios

Cuando se establece el ID de servicio con la opción -i en el mandato mqsicreateusernameserver o en el mandato mqsichangeusernameserver, se determina el ID de usuario bajo el cual se ejecuta el componente del Servidor de nombres de usuarios.

Responda a las siguientes preguntas:

  1. ¿Está instalado su Servidor de nombres de usuarios en una máquina UNIX?
    1. No: vaya a la siguiente pregunta.
    2. Sí: la información sobre la ejecución de mandatos del Servidor de nombres de usuarios en UNIX aún no está disponible.

      Vaya al apartado Cómo establecer la seguridad en las colas del Servidor de nombres de usuarios

  2. ¿Desea que el Servidor de nombres de usuarios se ejecute bajo una cuenta local de Windows?
    1. No: vaya a la siguiente pregunta.
    2. Sí: asegúrese de que su ID de usuario está definido en el dominio local y de que es miembro de mqbrkrs.

      Vaya al apartado Cómo establecer la seguridad en las colas del Servidor de nombres de usuarios

  3. ¿Desea que el Servidor de nombres de usuarios se ejecute bajo una cuenta de dominio de Windows?
    1. Sí: presuponga que su máquina llamada, por ejemplo, WKSTN1, es miembro de un dominio llamado DOMAIN1. Cuando ejecute un Servidor de nombres de usuarios utilizando, por ejemplo, DOMAIN1\user1, asegúrese de que DOMAIN1\user1 es miembro de DOMAIN1\Domain mqbrkrs y DOMAIN1\Domain mqbrkrs es miembro de WKSTN1\mqbrkrs.

      Vaya al apartado Cómo establecer la seguridad en las colas del Servidor de nombres de usuarios.

Cómo establecer la seguridad en las colas del Servidor de nombres de usuarios

Cuando ejecute el mandato mqsicreateusernameserver, el grupo mqbrkrs obtendrá autorización de acceso sobre las siguientes colas:
  • SYSTEM.BROKER.SECURITY.QUEUE
  • SYSTEM.BROKER.MODEL.QUEUE
Sólo el intermediario y el Gestor de configuración requieren el acceso a las colas del Servidor de nombres de usuarios.

Ejecución del Servidor de nombres de usuarios en un entorno de dominio

Cuando los usuarios que emiten mandatos de publicación y suscripción son usuarios del dominio, establezca la opción -d en el mandato mqsicreateusernameserver para indicar el dominio del que proceden dichos usuarios. Todos los usuarios que emiten mandatos de publicación y suscripción han de proceder del mismo dominio.

Conceptos relacionados
Seguridad para recursos de ejecución

Tareas relacionadas
Consideraciones de seguridad para un Gestor de configuración

Referencia relacionada
Requisitos de seguridad para plataformas Windows
Mandato mqsicreatebroker
Mandato mqsichangebroker