Habilitación de la seguridad basada en temas

Si las aplicaciones utilizan los servicios de publicación/suscripción de un intermediario, puede aplicar un nivel de seguridad adicional para los temas en los que se publican y suscriben los mensajes. Esta seguridad basada en temas la gestiona el Servidor de nombres de usuarios.

Lleve a cabo los siguientes pasos:

  1. Antes de crear un Servidor de nombres de usuarios, consulte Consideraciones sobre la seguridad en un Servidor de nombres de usuarios.
  2. Cree un Servidor de nombres de usuarios. Consulte Creación de un Servidor de nombres de usuarios.
  3. Seleccione el indicador -j y establezca el parámetro -s en el nombre del gestor de colas para el Servidor de nombres de usuarios en el mandato mqsicreatebroker o mqsichangebroker.
  4. Establezca el parámetro -s en el mandato mqsicreateconfigmgr o mqsichangeconfigmgr para el nombre del gestor de colas para el Servidor de nombres de usuarios.
  5. Cree las ACL para los temas que requieren seguridad adicional. Si desea ver más información, consulte Seguridad para recursos de ejecución (una tarea del área de trabajo).
  6. Asegúrese de que el ID de usuario de servicio del intermediario tiene autorización para:
    1. Obtener mensajes de cada cola de entrada incluida en un flujo de mensajes
    2. Transferir mensajes a todas las colas de salida, respuestas o anomalías incluidas en un flujo de mensajes
  7. Asegúrese de que los ID de usuario bajo los que se ejecutan las aplicaciones de publicación y suscripción tienen autorización suficiente para transferir y obtener de colas de flujos de mensajes:
    1. Autorice a las aplicaciones de publicación a transferir mensajes a la cola de entrada del flujo de mensajes.
    2. Autorice a las aplicaciones que registran suscripciones a transferir a la cola SYSTEM.BROKER.CONTROL.QUEUE.
    3. Autorice a las aplicaciones de suscripción a obtener de la cola en la que se publican los mensajes.
    4. Autorice a las aplicaciones de publicación y suscripción a obtener de la cola de respuestas.

Si emite peticiones publicación/suscripción de un cliente JMS, están disponibles opciones de seguridad adicionales. Consulte Autenticación SSL, Calidad de protección y Servicios de autenticación.

Vaya a Consideraciones sobre la seguridad en un Gestor de configuración.

Consideraciones sobre la seguridad en un Servidor de nombres de usuarios

Efectúe esta tarea respondiendo a la siguiente pregunta:
¿Ha habilitado la seguridad basada en temas en el intermediario?
  1. No: vaya a Consideraciones sobre la seguridad en un Gestor de configuración.
  2. Sí: necesita un Servidor de nombres de usuarios. Vaya a Cómo decidir qué cuentas de usuarios pueden ejecutar mandatos Servidor de nombres de usuarios.

Cómo decidir qué cuentas de usuarios pueden ejecutar mandatos Servidor de nombres de usuarios

Durante esta tarea se decide qué permisos son necesarios para los ID de usuarios que:
  • Crean, cambian, listan, suprimen, inician y detienen un Servidor de nombres de usuarios
  • Muestran, recuperan y cambian información de rastreo.

Responda a las siguientes preguntas:

  1. ¿Está instalado el Servidor de nombres de usuarios en un sistema operativo Linux o UNIX?
    1. No: vaya a la siguiente pregunta.
    2. Sí: La información sobre cómo ejecutar mandatos del Servidor de nombres de usuarios en Linux y UNIX aún no está disponible.

      Vaya a Cómo decidir qué cuenta de usuario utilizar para el ID de servicio del Servidor de nombres de usuarios.

  2. ¿Ejecuta los mandatos Servidor de nombres de usuarios bajo una cuenta local de Windows?
    1. No: vaya a la siguiente pregunta.
    2. Sí: Suponga que la cuenta local está en un sistema denominado, por ejemplo, WKSTN1. Al crear un Servidor de nombres de usuarios, asegúrese de que el ID de usuario está definido en el dominio local. Al crear o iniciar un Servidor de nombres de usuarios, asegúrese de que el ID de usuario es miembro de WKSTN1\Administradores.

      Vaya a Cómo decidir qué cuenta de usuario utilizar para el ID de servicio del Servidor de nombres de usuarios.

  3. ¿Ejecuta los mandatos Servidor de nombres de usuarios bajo una cuenta de dominio de Windows?
    1. Sí: Suponga que el sistema denominado WKSTN1, por ejemplo, es miembro de un dominio denominado DOMAIN1. Al crear un Servidor de nombres de usuarios utilizando, por ejemplo, DOMAIN1\user1, asegúrese de que DOMAIN1\user1 es miembro de WKSTN1\Administradores.

      Vaya a Cómo decidir qué cuenta de usuario utilizar para el ID de servicio del Servidor de nombres de usuarios.

Cómo decidir qué cuenta de usuario utilizar para el ID de servicio del Servidor de nombres de usuarios

Cuando establece el ID de servicio con la opción -i en el mandato mqsicreateusernameserver o mqsichangeusernameserver, determine el ID de usuario bajo el que se ejecuta el proceso del componente del Servidor de nombres de usuarios.

Responda a las siguientes preguntas:

  1. ¿Está instalado el Servidor de nombres de usuarios en un sistema operativo Linux o UNIX?
    1. No: vaya a la siguiente pregunta.
    2. Sí: La información sobre cómo ejecutar el Servidor de nombres de usuarios en Linux y UNIX aún no está disponible.

      Vaya a Configuración de la seguridad en las colas del Servidor de nombres de usuarios

  2. ¿Desea que el Servidor de nombres de usuarios se ejecute bajo una cuenta local de Windows?
    1. No: vaya a la siguiente pregunta.
    2. Sí: asegúrese de que el ID de usuario está definido en el dominio local y que es miembro de mqbrkrs.

      Vaya a Configuración de la seguridad en las colas del Servidor de nombres de usuarios

  3. ¿Desea que el Servidor de nombres de usuarios se ejecute bajo una cuenta de dominio de Windows?
    1. Sí: Suponga que el sistema denominado WKSTN1, por ejemplo, es miembro de un dominio denominado DOMAIN1. Al ejecutar un Servidor de nombres de usuarios utilizando, por ejemplo, DOMAIN1\user1, asegúrese de que: DOMAIN1\user1 es miembro de DOMAIN1\Dominio mqbrkrs y DOMAIN1\Dominio mqbrkrs es miembro de WKSTN1\mqbrkrs.

      Vaya a Configuración de la seguridad en las colas del Servidor de nombres de usuarios.

Configuración de la seguridad en las colas del Servidor de nombres de usuarios

Al ejecutar el mandato mqsicreateusernameserver, el grupo mqbrkrs obtiene autorización de acceso para las siguientes colas:
  • SYSTEM.BROKER.SECURITY.QUEUE
  • SYSTEM.BROKER.MODEL.QUEUE
Sólo el intermediario y el Gestor de configuración requieren acceder a las colas del Servidor de nombres de usuarios.

Ejecución del Servidor de nombres de usuarios en un entorno de dominio

Cuando los usuarios que emiten mandatos de publicación y suscripción son usuarios del dominio, establezca la opción -d en el mandato mqsicreateusernameserver en el dominio del que proceden dichos usuarios. Todos los usuarios que emiten mandatos de publicación y suscripción deben proceder del mismo dominio.

Avisos | Marcas registradas | Descargas | Biblioteca | Soporte | Su opinión
Copyright IBM Corporation 1999, 2005 Última actualización: 11/11/2005
ap03983_