Permisos de ACL

WebSphere Message Broker utiliza Listas de control de accesos (ACL) para controlar qué usuarios y grupos pueden manipular objetos en el Gestor de configuración y el Kit de herramientas de Message Brokers. Existen cuatro niveles de acceso diferentes que se pueden otorgar a un usuario o grupo: Total, Ver, Desplegar y Editar. No todos los niveles de acceso son válidos para todos los tipos de objeto; la tabla siguiente describe qué permisos se pueden aplicar a cada tipo de objeto y resume las acciones que el usuario o el grupo puede realizar.

Para reducir el número de entradas de control de accesos que un administrador de intermediario debe crear, los permisos de ACL se comportan de un modo jerárquico. La raíz del árbol es el objeto ConfigManangerProxy, que tiene tres hijos: RootTopic, Subscriptions y PubSubTopology. El objeto PubSubTopology tiene cero o más intermediarios como hijos y cada intermediario puede tener cero o más grupos de ejecución como hijos. Cuando se añade una entrada ACL a un objeto determinado, se otorga ese permiso a dicho objeto y a todos los objetos que están bajo él en la jerarquía a menos que otra entrada ACL lo altere temporalmente. El diagrama siguiente muestra una jerarquía de ejemplo:

Este diagrama muestra una
jerarquía de ejemplo.
La raíz es CMP, que tiene tres hijos: RootTopic, Subscriptions
y PubSubTopology. PubSubTopology tiene dos hijos: Intermediario1 e Intermediario2.
Cada intermediario tiene dos hijos: Eg1A y Eg1B.

Los escenarios siguientes muestran cómo funciona en la práctica este comportamiento jerárquico.

Escenario 1

El UsuarioA no tiene entradas de control de acceso. Por consiguiente, el UsuarioA no puede manipular ningún objeto de la jerarquía ni ver ninguno de los objetos definidos en la jerarquía.

Escenario 2

El UsuarioB tiene una entrada Desplegar para Eg1A. Por consiguiente, el UsuarioB tiene los permisos siguientes:

CMP Ninguno
RootTopic Ninguno
Subs Ninguno
Topology Ver
Intermediario1 Ver
Eg1A Desplegar
Eg1B Ninguno
Intermediario2 Ninguno
Eg2A Ninguno
Eg2B Ninguno

Tenga en cuenta que dado que se ha dado una entrada de control de accesos al grupo de ejecución, se le ha dado un permiso implícito para Ver al intermediario padre y a la topología o, de lo contrario, no estaría visible en las herramientas. Sin embargo, dado que no hay entradas ACL reales para este usuario para el intermediario o la topología, no hay acceso heredado los demás grupos de ejecución o de intermediario. En la práctica, esto significa que el UsuarioB puede ver que hay otro grupo de ejecución definido en el intermediario, pero no puede ver detalles (incluido el nombre).

De forma similar, el UsuarioB puede ver que existe otro intermediario en la topología, pero no puede ver ningún detalle. El UsuarioB no tiene acceso a RootTopic ni a la tabla de suscripciones.

Escenario 3

El UsuarioC tiene una entrada Ver para el Proxy del Gestor de configuración (CMP) y una entrada de control Total para Intermediario1. Por consiguiente, el UsuarioC tiene los permisos siguientes:

CMP Ver
RootTopic Ver
Subs Ver
Topology Ver
Intermediario1 Total
Eg1A Total
Eg1B Total
Intermediario2 Ver
Eg2A Ver
Eg2B Ver

Escenario 4

El UsuarioD tiene entrada de control Total para el CMP y una entrada Ver para el Intermediario1. Por consiguiente, el UsuarioD tiene los permisos siguientes:

CMP Total
RootTopic Total
Subs Total
Topology Total
Intermediario1 Total
Eg1A Ver
Eg1B Ver
Intermediario2 Total
Eg2A Total
Eg2B Total

Tenga en cuenta que en este ejemplo, sin la entrada Ver para el Intermediario1, el usuario tendría control total. Este uso de las entradas Ver es útil porque permite a los usuarios que normalmente tienen control total sobre un objeto determinado reducir el acceso temporalmente a fin de evitar la supresión o el despliegue accidental. Si el usuario necesita el control total del objeto, puede eliminar la entrada Ver y se restaurará el control total de forma que podrá realizar las operaciones que necesite y, a continuación, restaurar la entrada Ver.

Para cambiar las entradas de control de accesos para un objeto, un usuario debe tener control total sobre dicho objeto o cualquier padre de la jerarquía. Esto significa que el permiso para cambiar las propias ACL funciona del mismo modo que se ha descrito más arriba, excepto en que el acceso a las ACL no se puede eliminar otorgando un permiso inferior situado más abajo en el árbol; esto es necesario porque, de lo contrario, un usuario podría darse a sí mismo una entrada Ver y, a continuación, no podrá eliminarla.

Las entradas ACL se pueden manipular utilizando la API Java de Proxy del Gestor de configuración o utilizando los mandatos mqsicreateaclentry, mqsideleteaclentry y mqsilistaclentry.

La tabla siguiente explica las acciones que puede realizar un usuario con un permiso determinado:
Objeto Permiso Derechos
Topología Control total
  • Crear y suprimir intermediarios.
  • Crear y suprimir colectivos.
  • Añadir y eliminar intermediarios de colectivos.
  • Crear y suprimir conexiones.
  • Desplegar topología.
  • Todos los derechos de permiso de vista de topología.
Ver
  • Ver configuración de topología y subcomponentes gestionados.
Intermediario Control total
  • Crear y suprimir grupos de ejecución.
  • Editar todas las propiedades de intermediarios.
  • Todos los derechos de permisos de despliegue de intermediarios.
  • Todos los derechos de permiso de control total de grupos de ejecución para los grupos de ejecución contenidos.
  • Todos los derechos de permisos de vista de intermediarios.
Desplegar
  • Desplegar configuración de intermediario.
  • Todos los derechos de permisos de vista de intermediarios.
Ver
  • Ver configuración de intermediario y subcomponentes gestionados.
  • Acceso de vista implícito a topología.
Grupo de ejecución Control total
  • Editar todas las propiedades de grupo de ejecución.
  • Iniciar y detener grupos de ejecución.
  • Todos los derechos de permisos de despliegue de grupos de ejecución.
  • Todos los derechos de permisos de vista de grupos de ejecución.
Desplegar
  • Desplegar la configuración de grupos de ejecución.
  • Iniciar y detener flujos de mensajes asignados.
  • Iniciar y detener el rastreo.
  • Todos los derechos de permisos de vista de grupos de ejecución.
Ver
  • Ver configuración de grupo de ejecución y subcomponentes gestionados.
  • Acceso de vista implícito al intermediario padre y a topología.
Tema principal Control total
  • Editar "Lista de control de accesos a tema".
  • Todos los permisos para desplegar tema principal.
  • Todos los permisos de edición de tema principal.
  • Todos los permisos de vista de tema principal.
Desplegar
  • Desplegar toda la configuración del tema.
  • Todos los permisos de vista de tema principal.
Editar
  • Crear y suprimir temas hijos.
  • Todos los permisos de vista de tema principal.
Ver
  • Ver todos los temas (incluidos los temas hijos) y todos los subcomponentes gestionados.
Subscripción Control total
  • Suprimir cualquier suscripción.
  • Todos los permisos de "Ver" suscripción.
Ver
  • Ver o consultar todas las suscripciones y los subcomponentes gestionados.
Conceptos relacionados
Seguridad para recursos de ejecución
Seguridad basada en temas
Tareas relacionadas
Configuración de la seguridad del dominio de intermediarios
Habilitación de la seguridad basada en temas
Adición de un tema nuevo
Referencia relacionada
Mandato mqsicreateaclentry
Mandato mqsideleteaclentry
Mandato mqsilistaclentry
Actualizaciones ACL
Avisos | Marcas registradas | Descargas | Biblioteca | Soporte | Su opinión
Copyright IBM Corporation 1999, 2005 Última actualización: 11/11/2005
ap12520_