Sicherheit für MDBs mit Listener-Ports konfigurieren

Für Messaging-Provider, die keine JCA-Messaging-Provider (Java™ EE Connector Architecture) sind, erfolgt die Zuordnung zwischen Verbindungsfactorys, Zielen und MDBs über Listener-Ports. In diesem Fall können Sie die Ressourcensicherheit und die Sicherheitsberechtigungen für Message-driven Bean über die Festlegung des containergesteuerten Alias konfigurieren. Die Sicherheitsinformationen des MDB-Listeners werden bei der Erstellung der JMS-Verbindung des MDB-Listeners festgelegt.

Vorbereitende Schritte

Über einen Listener-Port kann eine implementierte MDB, die einem Port zugeordnet ist, Nachrichten vom zugeordneten Ziel abrufen. Weitere Informationen zu Listener-Ports finden Sie im Artikel Message-Driven-Beans - Listener-Komponenten.

Anmerkung: In WebSphere Application Server Version 7 und höher sind Listener-Ports stabilisiert. Weitere Informationen finden Sie im Artikel zu den stabilisierten Features. Deshalb sollten Sie die Migration Ihrer WebSphere MQ-MDB-Implementierungskonfigurationen von Listener-Ports auf Aktivierungsspezifikationen planen. [AIX Solaris HP-UX Linux Windows][IBM i]Weitere Informationen zum Konfigurieren der Aktivierungsspezifikationen für Nicht-ASF-Modus finden Sie unter Aktivierungsspezifikation für Nicht-ASF-Modus konfigurieren. Sie sollten die Migration jedoch erst dann durchführen, wenn Sie sicher sind, dass die Anwendung nicht in Anwendungsservern einer früheren Version als WebSphere Application Server Version 7 ausgeführt werden muss. Wenn beispielsweise in einem Anwendungs-Server-Cluster einige Member Version 6.1 und andere Member eine höhere Version haben, sollten Sie Anwendungen in diesem Cluster erst dann auf die Verwendung von Aktivierungsspezifikationen migrieren, wenn Sie alle Anwendungsserver im Cluster auf die höhere Version migriert haben.

Informationen zu diesem Vorgang

Die Sicherheit für eine MDB ist größtenteils identisch mit der Sicherheit anderer Enterprise-Beans. Der Zugriff auf JDBC-Ressourcen und JCA-Ressourcen (z. B. CICS, IMS) wird beispielsweise auf dieselbe Weise behandelt wie bei einer Entität oder einer Session-Bean. Der Zugriff auf andere JMS-Ressourcen wird ebenfalls auf dieselbe Weise wie bei anderen Enterprise-Beans behandelt.

Zum Sichern einer MDB, die in einem Listener-Port implementiert wurde, können Sie die Authentifizierung und Berechtigung für den Server konfigurieren, den Sie mit einem JMS-Provider und einem Ziel verbinden möchten, sodass eine Nachricht für die Verarbeitung durch die MDB-Methode onMessage() vom Ziel abgerufen werden kann.

Bei einigen MDBs versucht die Methode onMessage(), auf weitere JMS-Ressourcen zuzugreifen, nachdem die erste JMS-Verbindung hergestellt wurde. In diesem Fall wird die Sicherheit auf dieselbe Weise gehandhabt wie bei JMS-Aufrufen, die von einer Entität oder Session-EJB abgesetzt werden.

Die Sicherheitsinformationen für eine MDB, die in einem Listener-Port implmentiert ist, sind erforderlich, wenn die erste JMS-Verbindung erstellt wird. Bei einer in einem Listener-Port implementierten MDB werden die Sicherheitsinformationen der MDB anhand der Werte bestimmt, die für die Verbindungsfactory angegeben wurden, die der Listener-Port verwendet. Die Benutzer-ID, die vom Listener-Port für die Herstellung der JMS-Verbindung verwendet wird, wird vom Typ des Authentifizierungsalias bestimmt, der in der Warteschlangenverbindungsfactory angegeben wurde.
  1. Wenn ein containergesteuerter Alias für die Verbindungsfactory definiert wurde, wird die dem containergesteuerten Alias zugeordnete Benutzer-ID im Aufruf für die Verbindungserstellung verwendet, z. B. createQueueConnection(userid,password).
  2. Wenn ein komponentengesteuerter Alias für die Verbindungsfactory definiert wurde, wird die dem komponentengesteuerten Alias zugeordnete Benutzer-ID im Aufruf für die Verbindungserstellung verwendet.
  3. Wenn kein Alias angegeben und die Verbindungsfactory im Bindungsmodus (d. h. TransportType = "BINDINGS" ) definiert wurde, wird die Serveridentität verwendet. [z/OS]Die Serveridentität wird in den Servants in die Servant-ID und die Controlleridentität im Controller umgesetzt. Daher ist beim Epmfangscontroller die Controlleridentität ebenso relevant wie die Servantidentität. Zugehörige Informationen zu Empfangscontrollern finden Sie im Artikel [z/OS]Nachrichtenlistener-Service unter z/OS.
Anmerkung: Die Authentifizierungsaliasnamen, auf die hier Bezug genommen wird, sind die Authentifizierungsaliasnamen, die der vom Administrator definierten Verbindungsfactory zugeordnet sind. Dem MDB-Listener ist keine Anwendungsressourcenreferenz zugeordnet und deshalb muss auf dieser Ebene kein Authentifizierungsalias definiert werden.

Wenn Sie den containergesteuerten Alias (durch Auswahl dieser Option) definieren möchten, führen Sie in der Administrationskonsole die folgenden Schritte aus:

Vorgehensweise

  1. Zum Anzeigen der Einstellungen des Listener-Ports klicken Sie auf Server > Servertypen > WebSphere-Anwendungsserver > Anwendungsserver > [Kommunikation] Messaging > Nachrichten-Listener-Service > [Weitere Eigenschaften] Listener-Ports > Listener-Port.
  2. Sehen Sie sich den JNDI-Namen der Verbindungsfactory an, um den Namen der JMS-Verbindungsfactory zu ermitteln.
  3. Zeigen Sie die Eigenschaften der JMS-Verbindungsfactory an. Wenn Sie beispielsweise die Eigenschaften einer Warteschlangenverbindungsfactory anzeigen möchten, klicken Sie auf Ressourcen > JMS -> Warteschlangenverbindungsfactorys->Warteschlangenverbindungsfactory.
  4. Definieren Sie die Eigenschaft "Containergesteuerter Authentifizierungsalias".
  5. Klicken Sie auf OK.

Nächste Schritte

Andere EJBs aufrufen

An einem Listener-Port ankommenden Nachrichten ist kein Clientberechtigungsnachweis zugeordnet. Die Nachrichten sind anonym. Wenn eine MDB geschützte Enterprise-Beans aufrufen können soll, muss sie mit einem RunAs-ID-Implementierungsdeskriptor konfiguriert sein. Die Sicherheit hängt von der Rolle ab, die von der RunAs-ID für die MDB als EJB-Komponente angegeben wird.

Weitere Informationen zur EJB-Sicherheit finden Sie im Artikel Enterprise-Bean-Anwendungen sichern. Weitere Informationen zum Konfigurieren der Sicherheit für Ihre Anwendung finden Sie im Artikel Anwendungen während der Assemblierung und Implementierung sichern.


Symbol, das den Typ des Artikels anzeigt. Taskartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tmb_sec00
Dateiname:tmb_sec00.html