Ativando SSL para os Nós Real-time

utilize os serviços de autenticação opcionais entre os clientes JMS e os nós Real-timeInput e Real-timeOptimizedFlow.

Em uma configuração padrão, os serviços de autenticação SSL estão desativados.

Para configurar o produto para utilizar os serviços de autenticação SSL, conclua as seguintes etapas:

Configurando o Servidor de Nomes do Usuário

O Servidor de Nome de Usuário distribui a senhas de intermediários necessárias para suportar esses protocolos de autenticação.

Para configurar o Servidor de Nome de Usuário para suportar a autenticação, especifique os dois parâmetros a seguir no comando mqsicreateusernameserver ou mqsichangeusernameserver:

  • AuthProtocolDataSource descreve o local de um arquivo local que contém as informações necessárias para suportar os protocolos de autenticação.
  • O sinalizador -j indica se o arquivo para o qual é apontado pelo parâmetro AuthProtocolDataSource contém o grupo ou informações de associação do grupo além das informações de senha.

Utilize o sinalizador -d no comando mqsichangeusernameserver para desativar essa opção.

Configurando um Intermediário

Configure um intermediário para suportar os serviços de autenticação WebSphere Message Broker. Especifique dois parâmetros de autenticação e de controle de acesso e utilize o ambiente de trabalho para configurar os nós Real-timeInput apropriados e os conjuntos de protocolos que devem ser suportados no intermediário.

As etapas a seguir mostram como fazer isto.

  1. Alterne para o Perspectiva do Desenvolvimento de Aplicativos do Intermediário.
  2. Para cada fluxo de mensagens na Topologia de Fluxo de Mensagens:
    1. Selecione o nó Real-timeInput ou Real-timeOptimizedFlow para abrir a visualização Propriedades, ou clique com o botão direito no nó e clique em Propriedades para abrir o diálogo de Propriedades. As propriedades do nó são exibidas.
    2. Selecione Autenticação.
  3. Para cada intermediário na Topologia do Intermediário:
    1. Selecione o intermediário para abrir a visualização Propriedades, ou clique com o botão direito no intermediário e clique em Propriedades para abrir o diálogo de Propriedades. As propriedades do intermediário são exibidas.
    2. Digite o valor necessário no Tipo de Protocolo de Autenticação.

      Escolha qualquer combinação ds opções P, M, S e R. Por exemplo, S, SR, RS, R, PS, SP, PSR, SRM, MRS e RSMP são todas combinações válidas de opções.

      A ordem na qual você especifica as opções é significativa. O intermediário escolhe a primeira opção que o cliente suporta. Se você deseja que o intermediário sempre suporte o mais forte protocolo suportado pelo cliente, escolha RSMP.

    3. Se você escolheu S ou R como uma das opções no Tipo de Protocolo de Autenticação, especifique o Nome do Arquivo de Anel de Chaves SSL e o Nome do Arquivo de Senha SSL.
    4. Clique em OK.
    5. Utilize o comando mqsicreatebroker ou mqsichangebroker, com os dois parâmetros a seguir, para configurar o intermediário:
      UserNameServerQueueManagerName (-s)
      Este parâmetro define o nome do gerenciador de filas associado ao Servidor de Nome de Usuário. Especifique esse parâmetro se você precisar de serviços de autenticação e/ou serviços de controle de acesso Publicação/Assinatura.
      Publicação/AssinaturaSinalizador de Controle de Acesso (-j)
      Configure esse sinalizador além de especificar o parâmetro UserNameServerQueueManagerName, se desejar utilizar os serviços de controle de acesso Publicação/Assinatura.

      O uso dos serviços de autenticação no intermediário é ativado no nível do nó de entrada IP, e não por um parâmetro nesses comandos.

Arquivos de Senhas de Amostra

Dois arquivos de amostra, password.dat e pwgroup.dat, são fornecidos com WebSphere Message Broker.

  • pwgroup.dat é um arquivo de amostra que pode sr utilizado quando se define o sinalizador -j.
  • password.dat é um arquivo de amostra que pode ser utilizado no caso padrão.
O arquivo password.dat possui o seguinte layout:
# Este é um arquivo de senhas

# Cada linha contém dois tokens requeridos delimitados por
# vírgulas. O primeiro é um ID do usuário, o segundo é a senha desse
# usuário.

#USERNAME PASSWORD
========================
subscriber,subpw
admin,adminpw
publisher,pubpw 

Este arquivo complementa as informações do usuário e do grupo recuperadas pelo Servidor de Nome de Usuário do sistema operacional. Os nomes do usuário que são definidos no arquivo, mas não são definidos no sistema operacional, são tratados como desconhecidos pelo domínio do intermediário. Os nomes dos usuários que são definidos no sistema operacional mas não no arquivo de senhas têm o acesso ao sistema negado.

O arquivo pwgroup.dat contém as informações sobre o grupo além das informações do usuário e da senha. Cada entrada de usuário inclui uma lista de nomes de grupos que especificam os grupos que contêm o usuário.

O arquivo pwgroup.dat possui o seguinte layout:
# Este é um arquivo de senhas
# Cada linha contém dois ou mais tokens requeridos delimitados por
# vírgulas. O primeiro é um ID do usuário e o segundo é a senha desse
# usuário. Todos os tokens seguintes
# especificam o conjunto de grupos aos quais o usuário pertence.

#USERNAME PASSWORD  GROUPS
subscriber,subpw,group1,group2,group3
admin,adminpw,group2
publisher,pubpw,group2,group4 
Conforme mencionado acima, esse arquivo pode ser utilizado para fornecer a única origem de informações sobre usuário, grupo e senha para o domínio do intermediário.

Para implementar as informações atualizadas do usuário e da senha para a rede do intermediário, se essas informações forem extraídas de um arquivo do sistema operacional, pare o Servidor de Nome de Usuário e os intermediários, atualize o arquivo e, em seguida, reinicie o Servidor de Nome de Usuário e os intermediários.

Se as senhas forem extraídas do sistema operacional, as atualizações serão distribuídas automaticamente aos intermediários. Utilize ferramentas normais de gerenciamento do sistema operacional para alterar usuários ou senhas.

Autenticação no Cliente JMS

Para os aplicativos cliente que utilizam as classes WebSphere MQ para Java Message Service Versão 5.3 antes de CSD4, o aplicativo cliente sempre possui um nível de protocolo de autenticação de PM. O aplicativo cliente e o intermediário negociam a escolha de protocolo para uma sessão. Onde o intermediário suportar ambos os protocolos (ou seja, você definiu PM ou MP na definição de um intermediário no ambiente de trabalho), o primeiro protocolo especificado no ambiente de trabalho será escolhido.

Para aplicativos cliente que utilizam classes WebSphere MQ para Java Message Service Versão 5.3, CSD10 (mais APAR IC47044) ou CSD11 ou posterior ou classes WebSphere MQ para Java Message Service Versão 6.0 ou posterior, o aplicativo cliente suporta dois níveis de autenticação.

É possível configurar um TopicConnectionFactory para suportar um modo de autenticação MQJMS_DIRECTAUTH_BASIC ou um modo de autenticação MQJMS_DIRECTAUTH_CERTIFICATE. O modo de autenticação MQJMS_DIRECTAUTH_BASIC é equivalente a um nível de PM, e o modo de autenticação MQJMS_DIRECTAUTH_CERTIFICATE é equivalente a um nível de SR.

Se você configurou com êxito os serviços de autenticação para um nó Real-timeInput, um aplicativo cliente JMS deve especificar suas credenciais ao criar uma conexão. Para estabelecer uma conexão para essa configuração, o aplicativo cliente JMS fornece uma combinação de ID do usuários e de senha para o método TopicConnectionFactory.createTopicConnection; por exemplo:
factory.createTopicConnection("user1", "user1pw");

Se o aplicativo não especificar essas credenciais, ou especificá-las incorretamente, receberá uma exceção agrupada por JMS que contém o texto de erro MQJMS.

Avisos | Marcas Registradas | Downloads | Biblioteca | Suporte | Feedback

Copyright IBM Corporation 1999, 2009Copyright IBM Corporation 1999, 2009.
Última atualização : 2009-02-13 16:12:59

ap12233_