ACL-Berechtigungen

Über Zugriffssteuerungslisten (ACLs; Access Control Lists) werden in WebSphere Message Broker die Benutzer und Gruppen, die Objekte im Konfigurationsmanager und Message Brokers Toolkit bearbeiten können, festgelegt. Einem Benutzer bzw. einer Gruppe können vier verschiedene Zugriffsebenen zugeordnet werden: Vollständig, Anzeigen, Implementieren und Bearbeiten. Für die jeweiligen Objekttypen sind nicht alle Zugriffsebenen zulässig; in der nachfolgenden Tabelle werden die Berechtigungen, die den jeweiligen Objekttypen zugeordnet werden können, beschrieben. Zudem enthält die Tabelle eine Zusammenfassung der Aktionen, die der Benutzer bzw. die Gruppe ausführen können.

Um die Anzahl der Zugriffssteuerungseinträge, die von einem Brokeradministrator erstellt werden müssen, zu reduzieren, weisen die ACL-Berechtigungen ein hierarchisches Verhalten auf. Das Stammelement der Baumstruktur ist das ObjektConfigManagerProxy, dem drei untergeordnete Elemente zugeordnet sind: RootTopic, Subscriptions und PubSubTopology. Dem Objekt PubSubTopology sind null oder mehrere Broker untergeordnet, und jeder Broker verfügt über null oder mehrere untergeordnete Ausführungsgruppen. Wenn ein ACL-Eintrag zu einem bestimmten Objekt hinzugefügt wird, gilt diese Berechtigung für das Objekt und alle untergeordneten Objekte in der Hierarchie, es sei denn, die Berechtigung wird von einem anderen ACL-Eintrag außer Kraft gesetzt.

Beginn der ÄnderungUnter z/OS müssen Sie eine OVMS-Datenbank für Benutzer-IDs und Gruppen erstellen, damit ein Konfigurationsmanager Benutzer-IDs und Gruppeninformationen aus der Datenbank des externen Sicherheitsmanagers (ESM; External Security Manager) abrufen kann.Ende der Änderung

Das folgende Diagramm stellt eine Beispielhierarchie dar:

Dieses Diagramm stellt eine Beispielhierarchie dar. CMP ist das Stammelement, das über drei untergeordnete Elemente verfügt: RootTopic, Subscriptions, und PubSubTopology. PubSubTopology verfügt über zwei untergeordnete Elemente: Broker1 und Broker2. Jedem Broker sind wiederum zwei untergeordnete Elemente zugeordnet: Eg1A und Eg1B.

Die folgenden Szenarios machen deutlich, wie das hierarchische Verhalten in der Praxis funktioniert.

Szenario 1

Dem BenutzerA sind keine Zugriffsteuerungseinträge zugeordnet. Deshalb kann BenutzerA keine Objekte in der Hierarchie bearbeiten oder in der Hierarchie definierte Objekte anzeigen.

Szenario 2

BenutzerB verfügt über die Berechtigung 'Implementieren' für Eg1A. Deshalb verfügt BenutzerB über folgende Berechtigungen:

CMP Keine
RootTopic Keine
Subs Keine
Topology Anzeigen
Broker1 Anzeigen
Eg1A Implementieren
Eg1B Keine
Broker2 Keine
Eg2A Keine
Eg2B Keine

Hinweis: Da der Ausführungsgruppe ein Zugriffssteuerungseintrag zugeordnet wurde, wird ihr eine implizierte Berechtigung zum Anzeigen für den übergeordneten Broker und die Topologie erteilt, sonst würde sie in den Tools nicht angezeigt werden. Da es keine ACL-Einträge für diesen Benutzer für den Broker oder die Topologie gibt, kann keine Zugriffsberechtigung für den anderen Broker bzw. Ausführungsgruppen übernommen werden. In der Praxis bedeutet dies, dass BenutzerB zwar sehen kann, dass eine andere Ausführungsgruppe für diesen Broker definiert wurde, er kann jedoch keine Details (einschließlich des Namens) anzeigen.

Ebenso kann BenutzerB sehen, dass sich ein weiterer Broker in der Topologie befindet, es werden jedoch keine Details angezeigt. BenutzerB hat keinen Zugriff auf das Thema der höchsten Ebene oder auf die Subskriptionstabelle.

Szenario 3

BenutzerC hat einen Eintrag zum Anzeigen für das Konfigurationsmanager-Proxy, und einen Eintrag für die vollständige Zugriffskontrolle über Broker1. Deshalb verfügt BenutzerC über folgende Berechtigungen:

CMP Anzeigen
RootTopic Anzeigen
Subs Anzeigen
Topology Anzeigen
Broker1 Vollständig
Eg1A Vollständig
Eg1B Vollständig
Broker2 Anzeigen
Eg2A Anzeigen
Eg2B Anzeigen

Szenario 4

BenutzerD hat einen Eintrag für die vollständige Zugriffskontrolle für das CMP und eine Berechtigung zum Anzeigen von Broker1. Deshalb verfügt BenutzerD über folgende Berechtigungen:

CMP Vollständig
RootTopic Vollständig
Subs Vollständig
Topology Vollständig
Broker1 Anzeigen
Eg1A Anzeigen
Eg1B Anzeigen
Broker2 Vollständig
Eg2A Vollständig
Eg2B Vollständig

Hinweis: In diesem Beispiel hätte der Benutzer ohne den Eintrag für die Berechtigung zum Anzeigen für Broker1 vollständige Zugriffskontrolle. Die Einträge für die Berechtigung zum Anzeigen sind nützlich, da man über diese Einträge die Zugriffsberechtigungen für Benutzer, die normalerweise vollständige Zugriffskontrolle für ein bestimmtes Objekt haben, vorübergehend einschränken kann, um unbeabsichtigte Löschvorgänge oder Implementierungen zu vermeiden. Sie können die vollständige Zugriffskontrolle des Benutzers für ein Objekt durch Entfernen des Eintrags für die Berechtigung zum Anzeigen wiederherstellen, so dass der Benutzer die erforderlichen Operationen ausführen kann, und anschließend den Eintrag für die Anzeigeberechtigung wiederherstellen.

Um die Zugriffssteuerungseinträge für ein Objekt ändern zu können, muss der Benutzer über die Berechtigung zur vollständige Kontrolle für das Objekt oder eines der ihm übergeordneten Objekte in der Hierarchie verfügen. Dies bedeutet, dass bei der Berechtigung zum Ändern der ACLs nach dem oben beschriebenen Prinzip vorgegangen wird, mit der Ausnahme, dass Zugriffsberechtigungen für ACLs nicht durch Erteilen einer niedrigeren Berechtigung weiter unten in der Baumstruktur entfernt werden können; wäre dies nicht der Fall, könnte sich ein Benutzer selbst eine Anzeigeberechtigung erteilen und wäre dann nicht mehr in der Lage, diese zu entfernen.

ACL-Einträge können unter Verwendung der Java-Konfigurationsmanager-Proxy-API oder der Befehle mqsicreateaclentry, mqsideleteaclentry, und mqsilistaclentry bearbeitet werden.

In der folgenden Tabelle sind die Aktionen aufgeführt, die von Benutzern mit einer bestimmten Berechtigung ausgeführt werden können:
Objekt Zugriffsberechtigung Berechtigung
Topologie Vollständige Kontrolle
  • Erstellen und Löschen von Brokern.
  • Erstellen und Löschen von Brokerverbunden.
  • Broker zu Brokerverbunden hinzufügen und aus Brokerverbunden löschen.
  • Erstellen und Löschen von Verbindungen.
  • Implementieren der Topologie.
  • Alle Berechtigungen der Topologieansicht
Ansicht
  • Anzeige von Topologiekonfiguration und verwalteten Subkomponenten.
Broker Vollständige Kontrolle
  • Erstellen und Löschen von Ausführungsgruppen.
  • Bearbeiten aller Brokereigenschaften.
  • Alle Berechtigungen zur Brokerimplementierung.
  • Vollständige Steuerungsberechtigung für enthaltene Ausführungsgruppen zu allen Ausführungsgruppen.
  • Alle Berechtigungen zur Brokeranzeige.
Implementieren
  • Implementieren der Brokerkonfiguration.
  • Alle Berechtigungen zur Brokeranzeige.
Ansicht
  • Anzeige von Brokerkonfiguration und verwalteten Subkomponenten.
  • Impliziter Anzeigezugriff auf Topologie
Ausführungsgruppe Vollständige Kontrolle
  • Bearbeiten aller Eigenschaften der Ausführungsgruppen.
  • Starten und Stoppen von Ausführungsgruppen.
  • Alle Ausführungsgruppen mit Berechtigungen zur Implementierung.
  • Alle Ausführungsgruppen mit Berechtigungen zur Anzeige.
Implementieren
  • Implementieren der Konfiguration der Ausführungsgruppe.
  • Starten und Stoppen von zugeordneten Nachrichtenflüssen.
  • Starten und Stoppen von Traces.
  • Alle Ausführungsgruppen mit Berechtigungen zur Anzeige.
Ansicht
  • Anzeige der Konfiguration von Ausführungsgruppen und verwalteten Subkomponenten.
  • Impliziter Anzeigezugriff auf übergeordneten Broker und Topologie
Thema der höchsten Ebene Vollständige Kontrolle
  • Bearbeiten der Zugriffssteuerungsliste für Themen
  • Alle Berechtigungen zum Implementieren des Themas der höchsten Ebene.
  • Alle Berechtigungen zum Bearbeiten des Themas der höchsten Ebene.
  • Alle Berechtigungen zum Anzeigen des Themas der höchsten Ebene.
Implementieren
  • Implementieren der gesamten Themenkonfiguration.
  • Alle Berechtigungen zum Anzeigen des Themas der höchsten Ebene.
Bearbeiten
  • Erstellen und Löschen von untergeordneten Themen.
  • Alle Berechtigungen zum Anzeigen des Themas der höchsten Ebene.
Ansicht
  • Anzeigen aller Themen (einschließlich untergeordneter Themen) und verwalteter Subkomponenten.
Subskription Vollständige Kontrolle
  • Löschen aller Subskriptionen.
  • Alle Berechtigungen zur Anzeige der Subskription.
Ansicht
  • Anzeigen bzw. Abfragen aller Subskriptionen und verwalteter Subkomponenten.
Zugehörige Konzepte
Sicherheit für Laufzeitressourcen
Themensicherheit
Zugehörige Tasks
Sicherheit für Brokerdomäne erstellen
Themenbasierte Sicherheit aktivieren
Aktive Implementierung abbrechen
Neues Thema hinzufügen
Zugehörige Verweise
Befehl mqsicreateaclentry
Befehl 'mqsideleteaclentry'
Befehl 'mqsilistaclentry'
ACL-Aktualisierungen
Bemerkungen | Marken | Downloads | Bibliothek | Unterstützung | Rückmeldung
Copyright IBM Corporation 1999, 2006 Letzte Aktualisierung: 18.05.2006
ap12520_