Benutzer für die Verbindung mit der Messaging-Engine authentifizierten

Die Benutzerberechtigungsnachweise müssen überprüft werden, damit der Benutzer für die Verbindung mit der Messaging-Engine authentifiziert wird.

Vorgehensweise

  1. Konfiguration der Benutzerregistry.
    In Liberty werden folgende Registry-Typen unterstützt:
    • QuickStartSecurity (unterstützt nur einen Benutzer)

      Diese Option ist die einfachste Möglichkeit für die Angabe eines Benutzernamens und Kennworts für die Authentifizierung der Anwendungsverbindungen. Sie können das Element <quickStartSecurity> verwenden, um eine einfache (ein einziger Benutzer) Sicherheitskonfiguration für Liberty zu aktivieren. Definieren Sie das folgende Element <quickStartSecurity> in der Datei server.xml.

      Im folgenden Beispiel wird das Element <quickStartSecurity> verwendet, um einen einzelnen Benutzer mit dem Namen liberty mit dem Kennwort liberty123 zu definieren.
      <quickStartSecurity userName="liberty" userPassword="liberty123"/>
      Anmerkung: Stellen Sie sicher, dass in der Datei server.xml nicht das unformatierte Kennwort (z. B. liberty123) angegeben wird. Verwenden Sie zum Verschlüsseln des Kennworts das im Lieferumfang von Liberty enthaltene Sicherheitsdienstprogramm.
      <WLP_HOME>\wlp\bin>securityUtility encode "liberty123"

      Weitere Informationen zum Schutz von Kennwörtern finden Sie unter Liberty: Befehl "securityUtility".

    • Basisbenutzerregistry (unterstützt mehrere Benutzer und die Deklaration von Benutzergruppen)
      Sie können Liberty für die Authentifizierung und Berechtigung von Benutzern mit der Basisbenutzerregistry konfigurieren. Dazu richten Sie eine Basisbenutzerregistry ein und konfigurieren in der Datei server.xml für einen Liberty-Server mehrere Rollenzuordnungen,
      Anmerkung: Die Konfiguration von <basicRegistry> überschreibt die Registry <quickStartSecurity>.
      <basicRegistry id="basic" realm="customRealm">
      			<user name="user1" password="user1pwd" />
      			<user name="user2" password="user2pwd" />
      		<user name="user3" password="user3pwd" />
      		<user name="user4" password="user4pwd" />
      		<user name="user5" password="user5pwd" />
      		<user name="user6" password="user6pwd" />
      		<user name="user7" password="user7pwd" />
      		<user name="user8" password="user8pwd" />
      		<group name="Developers">
      		<member name="user2" />
      				<member name="user4" />
      	</group>
      		<group name="Testers">
      				<member name="user8" />
      				<member name="user7" />
      	</group>
      </basicRegistry>
    • LDAP-Registrys (externe Registrys wie Microsoft Active Directory und IBM Directory Server)
      Sie können einen LDAP-Server (Lightweight Directory Access Protocol) zu Authentifizierungszwecken mit Liberty konfigurieren.
      <ldapRegistry id="LDAP" realm="SampleLdapIDSRealm" host="ctldap1.austin.ibm.com" port="389"
          ignoreCase="true" baseDN="o=ibm,c=us" 
          ldapType="IBM Tivoli Directory Server"
          idsFilters="ibm_dir_server"
          searchTimeout="8m"> 
              <failoverServers name="failoverLdapServers"> 
              		<server host="ralwang.rtp.raleigh.ibm.com" port="389"/>  
              	</failoverServers>
      </ldapRegistry>
      Anmerkungen:
      • Jeder Benutzername und jedes Kennwort, das in der LDAP-Registry angegeben ist, kann in der Verbindungsfactory angegeben werden.
      • Sie können nur einen einzigen Registry-Typ in der Datei server.xml definieren (entweder Basisregistry oder LDAP-Registry).
    Weitere Informationen zur Konfiguration von Registrys finden Sie unter Benutzerregistry in Liberty konfigurieren.
  2. Konfiguration der Anwendungsauthentifizierung.
    Basierend auf der in der Datei server.xml angegebenen Benutzerregistry können Sie Ihre Anwendung wie folgt konfigurieren:
    • Angabe von Benutzernamen und Kennwort in den JMS-Ressourcen (d. h. in den Eigenschaften für die Verbindungsfactory und die Aktivierungsspezifikation).
      Die Anwendung, die die Verbindungsfactory verwendet, wird anhand des in der Verbindungsfactory angegebenen Benutzernamens und Kennworts authentifiziert.
      <jmsQueueConnectionFactory jndiName="myQCF" connectionManagerRef="ConMgr4">
      		<properties.wasJms userName="liberty" password="liberty123"       
      				remoteServerAddress="localhost:7276:BootstrapBasicMessaging">
      		</properties>
      </jmsQueueConnectionFactory>
      <connectionManager id="ConMgr4" maxPoolSize="2"/>

      In vorherigen Beispiel wird die Anwendung, die die Warteschlangenverbindungsfactory myQCF sucht, automatisch anhand der für die konfigurierte Registry definierten Berechtigungsnachweise (Benutzernamen liberty und Kennwort liberty123) authentifiziert.

      Anmerkung: Die angegebene Verbindungseigenschaft sucht myQCF im Pfad jms/myQCF und nicht im Pfad java:comp/env/jms/myQCF.
    • Angabe von Benutzername und Kennwort in der JMS-Anwendung.
      Anmerkung: Der Benutzername und das Kennwort, die in der JMS-Anwendung angegeben sind, überschreiben den Benutzernamen und das Kennwort, die in der Verbindungsfactory definiert sind.
      Die Anwendung sucht die Verbindungsfactory-Eigenschaft und übergibt den Benutzernamen und das Kennwort, um die Berechtigungsnachweise zu authentifizieren.
      server.xml
      --------------------
      <jmsQueueConnectionFactory jndiName="myQCF" connectionManagerRef="ConMgr4">
      	<properties.wasJms
      				remoteServerAddress="localhost:7276:BootstrapBasicMessaging">
      		</properties>
      </jmsQueueConnectionFactory>
      <connectionManager id="ConMgr4" maxPoolSize="2"/>
      
      Application snippets
      ------------------
      QueueConnectionFactory qcf = (QueueConnectionFactory) new InitialContext().lookup("myQCF");
      QueueConnection qCon = qcf.createQueueConnection(“liberty”, “liberty123”);
    • Angabe von Benutzernamen und Kennwort im Element <containerAuthDataRef>.
      Die Standardauthentifizierungsdaten für die containergesteuerte Authentifizierung werden für den Fall angewendet, dass die Bindungen keinen Authentifizierungsalias für die Ressourcenreferenz mit res-auth=CONTAINER angeben. Das Element <authData> muss definiert sein und die SIB-Ressourcen (Service Integration Bus) müssen wie folgt darauf verweisen:
      <authData id="auth1" user="liberty" password="liberty123"/>
      
      <jmsQueueConnectionFactory jndiName="myQCF" 
      		containerAuthDataRef=”auth1” connectionManagerRef="ConMgr4">
            <properties.wasJms/>
      </jmsQueueConnectionFactory>
      <connectionManager id="ConMgr4" maxPoolSize="2"/>
      
       web.xml
       ----------
         <resource-ref>
          <res-ref-name>jndi/myQCF</res-ref-name>
          <res-auth>Container</res-auth>
          <res-type>javax.jms.QueueConnectionFactory</res-type>
          <lookup-name>jndi/myQCF</lookup-name>
        </resource-ref>
    Nach der Konfiguration müssen den authentifizierten Benutzern die erforderlichen Rollen zugewiesen werden, damit sie sicher auf die Messaging-Ressourcen zugreifen können. Nähere Informationen hierzu finden Sie unter Benutzer für die Verbindung mit der Messaging-Engine berechtigen.

Symbol das den Typ des Artikels anzeigt. Taskartikel



Symbol für Zeitmarke Letzte Aktualisierung: 01.12.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twlp_msg_sec_authenticate
Dateiname: twlp_msg_sec_authenticate.html