La protección de la interfaz de integración del planificador externo requiere
la protección de la aplicación del sistema JobSchedulerMDI y los recursos JMS que
utiliza.
Acerca de esta tarea
En el siguiente diagrama se muestran las acciones necesarias y los artefactos de
entorno a los que se aplican:

Los pasos
siguientes le muestran cómo proteger la interfaz de integración del planificador externo:
Procedimiento
-
Habilite la seguridad de bus.
Habilite la seguridad para JobSchedulerBus en la consola administrativa de
WebSphere:
-
Pulse Seguridad > Seguridad de bus > nombre_bus.
-
Seleccione el recuadro de selección Habilitar seguridad de bus.
-
Pulse Aceptar y, a continuación, Guardar para guardar la
configuración.
-
Defina un alias JAAS.
La activationSpec JMS de la aplicación JobSchedulerMDI requiere un alias JAAS.
Proporciona al alias JAAS el nombre que desee. El ID de usuario y la contraseña definidos en
este alias representan el acceso del planificador de trabajos a la cola JMS de entrada,
com.ibm.ws.grid.InputQueue. El alias JAAS también se utiliza mediante programación en la
aplicación JobSchedulerMDI para autenticarse en la cola de salida que utiliza el
planificador de trabajos para comunicarse con los clientes. La cola de salida es
com.ibm.ws.grid.OutputQueue. Defina el alias JAAS en la consola administrativa de
WebSphere:
-
Seleccione Seguridad > Proteger la administración, las aplicaciones y la
infraestructura > Java Authentication and Authorization Server > Datos de
autenticación J2C.
-
Pulse Guardar para guardar la configuración.
-
Asigne el alias JAAS a la activationSpec, com.ibm.ws.grid.ActivationSpec
-
Asigne roles.
Los roles deben asignarse para autorizar el acceso al bus y a los destinos de bus
de entrada y salida. Estas asignaciones de roles pueden ejecutarse en la consola
administrativa de WebSphere: Seguridad > Seguridad de bus > nombre_bus
> Inhabilitado > Usuarios y grupos en el rol de conector de bus. También
pueden realizarse mediante mandatos wsadmin:
$AdminTask
addUserToBusConnectorRole {-bus nombreBus -user username} o
$AdminTask
addGroupToBusConnectorRole {-bus nombreBus –group groupname}
Deben realizarse las siguientes asignaciones de roles:
-
JobSchedulerBus
Asigne el rol BusConnector a los siguientes ID de usuario:
- Identidad asignada a com.ibm.ws.grid.ActivationSpec. Esto permite al JobScheduler
acceder al bus.
- Cada una de las identidades utilizadas por WSGrid para autenticar el acceso de
cliente a la cola de entrada (consulte el paso 4 siguiente). Esto permite al invocador de
WSGrid acceder al bus.
-
com.ibm.ws.grid.InputQueue
Permita el acceso a este destino asignado roles
de remitente, destinatario y navegador a los mismos ID de usuario a los que ha asignado
el rol BusConnector en el paso anterior.
Esto sólo puede hacerse utilizando mandatos
wsadmin:
$AdminTask addUserToDestinationRole {-type queue –bus
JobSchedulerBus -destination com.ibm.ws.grid.InputQueue -role Sender -user
nombreUsuario}
$AdminTask addGroupToDestinationRole {-type queue –bus
JobSchedulerBus -destination com.ibm.ws.grid.InputQueue -role Sender –group
nombreGrupo}
AdminTask.setInheritDefaultsForDestination('-bus WSS.JobScheduler.Bus -type queue -destination com.ibm.ws.grid.InputQueue -inherit false'
Repita para los roles de receptor y navegador.
-
com.ibm.ws.grid.OutputQueue
Permita el acceso a este destino asignando los mismos roles al destino
com.ibm.ws.grid.OutputQueue tal como se asignaron para com.ibm.ws.grid.InputQueue en el paso anterior.
-
Autentique el acceso de cliente a la cola de entrada.
Especifique las propiedades del ID de usuario y la contraseña en el archivo de
propiedades de control de entrada de WSGrid. Por ejemplo, submitter-userid=username, submitter-password=password. La contraseña puede codificarse utilizando el programa de utilidad PropFilePasswordEncoder de WebSphere.