Datenstromberechtigung

In WebSphere MQ Publish/Subscribe werden alle Überprüfungen der Publish/Subscribe-Berechtigung für die Datenstromwarteschlange ausgeführt. Für bereitstellende Anwendungen ist die Berechtigung zum Einreihen von Nachrichten in die Datenstromwarteschlange erforderlich. Durch den WebSphere MQ Publish/Subscribe-Broker werden auch die Berechtigungen von subskribierenden Anwendungen überprüft, für die eine Berechtigung zum Durchsuchen der Datenstromwarteschlange erforderlich ist. Eine subskribierende Anwendung benötigt auch die Berechtigung zum Einreihen in die Warteschlange, die für den Empfang der Veröffentlichungen angegeben wurde.

Eine ähnliche Überprüfung wird durch die WebSphere Message Broker-Broker durchgeführt, wobei dort keine Überprüfung der Berechtigungen zum Subskribieren oder Durchsuchen durchgeführt wird. Stattdessen werden von WebSphere Message Broker Zugriffssteuerungslisten (Access Control Lists, ACLs) verwendet, die Sie mit Hilfe der Workbench zur Bereitstellung der erforderlichen Berechtigungen für einzelne Themen erstellen können. Weitere Informationen zu ACLs finden Sie unter Sicherheit für Laufzeitressourcen.

Vor der Migration eines WebSphere MQ Publish/Subscribe-Brokers auf WebSphere Message Broker oder der Migration Ihrer WebSphere MQ Publish/Subscribe-Anwendungen für die Ausführung auf WebSphere Message Broker müssen Sie die folgenden Auswirkungen auf die Sicherheit beachten:

Datenstromberechtigungen


Datenstromberechtigungen

In dieser Abbildung werden die erforderlichen Datenstromberechtigungen gezeigt. In diesem Beispiel wird angenommen, dass die standardmäßige Zugriffssteuerungsliste im Themenstamm für die öffentliche Gruppe des Principals für die Berechtigung zum Veröffentlichen, Subskribieren und persistenten Übermitteln auf Ablehnen aktualisiert wurde.

Mit diesem Beispiel wird vorausgesetzt, dass die folgenden Gruppen definiert wurden:
Berechtigungen müssen erteilt und verweigert werden, indem Sie Zugriffssteuerungslisten folgendermaßen einrichten:
  1. PDefault muss die Berechtigung zum Veröffentlichen im Stammverzeichnis und SDefault die Berechtigung zum Subskribieren im Stammverzeichnis erteilt werden.
  2. PDefault muss die Berechtigung zum Veröffentlichen auf $SYS/STREAM/ und SDefault die Berechtigung zum Subskribieren auf $SYS/STREAM/ verweigert werden.

    Durch diese Einstellungen wird sichergestellt, dass Publisher und Subskribenten in den Standarddatenströmen nicht ohne eine explizite Zugriffssteuerungsliste veröffentlichen oder subskribieren können, die die relevante Einstellung überschreibt.

  3. PStreamX muss die Berechtigung zum Veröffentlichen auf $SYS/STREAM/StreamX/ und SStreamX die Berechtigung zum Subskribieren auf $SYS/STREAM/StreamX/ erteilt werden.

    Durch diese Einstellungen werden alle Einstellungen auf übergeordneten Themen überschrieben und die Publish/Subscribe-Aktivität für Benutzer in diesen spezifischen Gruppen begrenzt.

  4. PStreamY muss die Berechtigung zum Veröffentlichen auf $SYS/STREAM/StreamY/ und SStreamY die Berechtigung zum Subskribieren auf $SYS/STREAM/StreamY/ erteilt werden.

    Durch diese Einstellungen werden alle Einstellungen auf übergeordneten Themen überschrieben und die Publish/Subscribe-Aktivität für Benutzer in diesen spezifischen Gruppen begrenzt.

Wenn Sie in dieser Situation Ausnahmebedingungen einrichten möchten, können Sie dies durch das Einführen einer Zugriffssteuerungsliste an dem entsprechenden Punkt vornehmen. Wenn Sie beispielsweise Publishern Berechtigungen für den Standarddatenstrom PDefault erteilen möchten, damit eine Veröffentlichung auf StreamX ermöglicht wird, müssen Sie eine explizite Zugriffssteuerungsliste an Punkt (3) erstellen, um die Berechtigung zu erteilen; dadurch wird die Verweigerung der Berechtigung an Punkt (2) überschrieben. In diesem Szenario können Benutzer in PDefault noch immer nicht auf StreamY veröffentlichen.

Zugehörige Konzepte
Sicherheit für Laufzeitressourcen
Zugehörige Tasks
Subskription
Zugehörige Verweise
MQRFH2-Header
Bemerkungen | Marken | Downloads | Bibliothek | Unterstützung | Rückmeldung
Copyright IBM Corporation 1999, 2005 Letzte Aktualisierung: Nov 17, 2005
aq18560_