IBM MQ-Server: Verbindung und Authentifizierung

Jede IBM MQ-Serverdefinition enthält die Verbindungseigenschaften und Authentifizierungseinstellungen, die von der Serviceintegration verwendet werden, um für die Ressourcenerkennung oder für das Messaging eine Verbindung zum zugeordneten IBM MQ-Warteschlangenmanager bzw. zur Gruppe mit gemeinsamer Warteschlange herzustellen.

Verbindung

Die Serviceintegration stellt in den folgenden Situationen eine Verbindung zum IBM MQ-Netz her:
  • Wenn während der Erstellung eines IBM MQ-Servers über die Administrationskonsole der Prozess für die automatische Ressourcenerkennung ausgeführt wird, um Ressourceninformationen direkt von IBM MQ zu erfassen. Die wsadmin-Befehle unterstützen keine automatische Erkennung von Ressourcen.
  • Wenn der IBM MQ-Server für die Übertragung von Nachrichten zwischen der Serviceintegration und IBM MQ verwendet wird.
Der Zugriffspfad für die Verbindung wird über die Kombination von Host, Port, Transportkette und IBM MQ-Verbindungskanal bestimmt, die Sie beim Erstellen der IBM MQ-Serverdefinition festlegen. Sie erhalten diese Informationen vom IBM MQ-Systemadministrator. Der Zugriffspfad für die Verbindung wird auch von dem Verbindungsmodus beeinflusst, den Sie angeben:
  • Im Transportmodus "Client" wird eine TCP/IP-Netzverbindung zwischen der Serviceintegration und IBM MQ hergestellt.
  • Wenn WebSphere Application Server und IBM MQ sich auf demselben System (oder, bei z/OS-Systemen, in derselben Partition desselben Systems) befinden, ist die Verwendung des Transports im Bindungsmodus der effizientere Weg, eine Verbindung zwischen der Serviceintegration und IBM MQ herzustellen.

Weitere Informationen zu den Mechanismen, die verwendet werden, um eine Verbindung zu IBM MQ for z/OS herzustellen, finden Sie in der Veröffentlichung z/OS System Setup Guide im Information Center von IBM MQ.

Authentifizierung

Der IBM MQ-Systemadministrator wünscht bei der Verbindungsherstellung wahrscheinlich eine Authentifizierung der Serviceintegration bei IBM MQ. Dies geschieht, wenn Nachrichtendaten mit einem Warteschlangenpunkt oder einem Mediationspunkt ausgetauscht werden müssen, der einem Busmember vom Typ "IBM MQ-Server" zugeordnet ist, und wenn der automatisierte Ressourcenerkennungsprozess ausgeführt wird, während Sie einen IBM MQ-Server in der Administrationskonsole konfigurieren.

Der IBM MQ-Systemadministrator möchte wahrscheinlich außerdem zwei unterschiedliche Benutzeraccounts im IBM MQ-System einrichten: einen Account mit ausschließlich den für die Ressourcenerkennung erforderlichen Berechtigungen und einen Account mit ausschließlich den für das Messaging erforderlichen Berechtigungen. Die IBM MQ-Serverdefinition unterstützt diese Anforderung, indem sie Ihnen ermöglicht, den MQ-Server mit zwei Authentifizierungsaliasnamen für diese beiden Accounts zu konfigurieren.

Die Länge von Authentifizierungsaliasnamen ist auf maximal 12 Zeichen beschränkt, weil die Benutzer-ID, die IBM MQ für die Überprüfung der Identität neuer Verbindungen verwendet, ebenfalls diese Einschränkung hat. Wenn Authentifizierungsaliasnamen die maximal zulässige Länge von 12 Zeichen überschreiten, werden sie abgeschnitten.

Wenn Sie Resource Access Control Facility (RACF) als Sicherheitsmanager auf Ihrem System mit IBM MQ for z/OS und den Transportmodus "Bindungen" verwenden, müssen Sie die Benutzernamen und Kennwörter für Authentifizierungsalias in Großbuchstaben angeben. Wenn Sie RACF und den Transportmodus "Client" verwenden, können Sie die Benutzernamen und Kennwörter in Groß- oder Kleinbuchstaben angeben.

Wenn ein Authentifizierungsalias vorhanden ist, werden der Benutzername und das zugehörige Kennwort von IBM MQ unter Verwendung eines Sicherheitsexits für IBM MQ-Kanäle untersucht. IBM MQ for z/OS stellt den Beispielsicherheits-Exit "CSQ4BCX3" bereit, der demonstriert, wie Sie basierend auf diesen Informationen eine Authentifizierung durchführen können.

Wenn Nachrichten zur Ressourcenerkennung an IBM MQ gesendet werden, wird die Option "MQPMO_SET_IDENTITY_CONTEXT" verwendet. Die Berechtigungsnachweise, die zum Einrichten einer Messaging-Verbindung verwendet werden, müssen berechtigt sein, dies zuzusichern.

Der Verbindungsmodus, den Sie für die Herstellung der Verbindung zu IBM MQ verwenden, hat Einfluss darauf, welche Berechtigungsnachweise verwendet werden:
  • Für eine Verbindung, die im Transportmodus "Client" ausgeführt wird, werden die Benutzer-ID und das Kennwort aus dem Authentifizierungsaliasnamen von IBM MQ verwendet. Wenn in der Definition des IBM MQ-Servers kein Authentifizierungsaliasname angegeben ist, wird IBM MQ jeweils eine leere Zeichenfolge für die Benutzer-ID und das Kennwort präsentiert.
  • Für eine Verbindung, die im Transportmodus "Bindungen" ausgeführt wird, verwendet IBM MQ für die Authentifizierung die Berechtigungsnachweise, die den Anwendungsserverprozessen zugeordnet sind. Deshalb weist die Serviceintegration die Anwendungsserverprozesse an, die Berechtigungsnachweise zu wechseln und die Benutzer-ID und das Kennwort aus dem zugehörigen Authentifizierungsaliasnamen für den IBM MQ-Server zu verwenden. Dies wiederum erfordert, dass die Anwendungsserverprozesse mit ausreichenden Berechtigungen für die Verbindungsherstellung und diesen Wechsel der Berechtigungsnachweise gestartet werden. Wenn in der Definition des IBM MQ-Servers kein Authentifizierungsaliasname angegeben ist, wird kein Wechsel der Berechtigungsnachweise versucht, und es werden die ursprünglichen Berechtigungsnachweise des Anwendungsserverprozesses verwendet. [z/OS]Bei der Ressourcenerkennung sind dies die Berechtigungsnachweise eines Servant-Prozesses in einer Einzelserverkonfiguration und die Berechtigungsnachweise des Adressraums des Deployment Manager in einer Network Deployment-Konfiguration. Für das Messaging sind dies die Berechtigungen des Adressraums der Zusatzregion.

Verbindungs- und Authentifizierungseinstellungen überschreiben

Wenn Sie die Definition des IBM MQ-Servers einem Service Integration Bus hinzufügen, um sie als Busmember festzulegen, können Sie die Servereinstellungen und den Authentifizierungsaliasnamen, die für das Messaging verwendet werden, mit den Einstellungen und dem Authentifizierungsaliasnamen überschreiben, die vom Bus verwendet werden. Sie können diese Option verwenden, um eine busspezifische Instanz dieses Servers zu erstellen. Außerdem ist die Option hilfreich in Konfigurationen mit mehreren Bussen. Gewöhnlich nutzen Sie diese Option, um die Verbindungen verschiedener Busse unterscheiden und unterschiedliche Sicherheitseinstellungen anwenden zu können.


Symbol, das den Typ des Artikels anzeigt. Konzeptartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=cjfp0018_
Dateiname:cjfp0018_.html