Protección de la interfaz del planificador externo al utilizar la mensajería predeterminada

La protección de la interfaz del planificador externo requiere la protección de la aplicación del sistema JobSchedulerMDI y de los recursos JMS que utiliza.

Acerca de esta tarea

En el siguiente diagrama se muestran las acciones necesarias y los artefactos de entorno a los que se aplican. Los pasos del diagrama son los pasos del procedimiento.

Pasos para proteger la interfaz controlada por mensajes del planificador de trabajos.

Los pasos siguientes muestran cómo proteger la interfaz del planificador externo:

Procedimiento

  1. Habilite la seguridad para el bus del planificador de trabajos en la consola de administración.
    1. Seleccione nombre_bus > Seguridad de bus > nombre_bus.
    2. Marque el recuadro de selección Habilitar seguridad de bus.
    3. Pulse Aceptar y, a continuación, pulse Guardar para guardar la configuración.
  2. Defina un alias JAAS.

    La especificación de activación de JMS para la aplicación JobSchedulerMDI requiere un alias JAAS. El ID de usuario y la contraseña definidos para este alias representan el acceso a la cola JMS de entrada del planificador de trabajos, com.ibm.ws.grid.InputQueue. La aplicación JobSchedulerMDI también utiliza el alias JAAS programáticamente para autenticarse en la cola de salida utilizada por el planificador de trabajos para comunicarse con sus clientes. La cola de salida es com.ibm.ws.grid.OutputQueue. Defina el alias JAAS en la consola administrativa:

    1. Seleccione Seguridad > Seguridad global > Servicio de autorización y autenticación de Java > Datos de autenticación J2C > Nuevo.
    2. Defina el alias JAAS.

      Proporcione al alias JAAS el nombre que desee. Especifique un ID de usuario y una contraseña que proporcione el acceso a la cola JMS de entrada del planificador de trabajos, com.ibm.ws.grid.InputQueue, y permite la autenticación en la cola de salida, escriba com.ibm.ws.grid.OutputQueue.

    3. Pulse Aceptar y seguidamente Guardar para guardar la configuración.
    4. Asigne el alias JAAS a la activationSpec, com.ibm.ws.grid.ActivationSpec.
  3. Establezca un alias de autenticación entre motores.
    1. Seleccione Integración de servicios > Buses > nombre_bus.
    2. En la lista de alias de autenticación entre motores, seleccione el alias JAAS que ha definido en el paso anterior.
    3. Pulse Aceptar y, a continuación, pulse Guardar para guardar la configuración.
  4. Establezca un alias de autenticación gestionado por contenedor.
    1. Seleccione Recursos > Adaptadores de recursos > Fábrica de conexiones de J2C > com.ibm.ws.grid.ConnectionFactory.
    2. En la lista de alias de autenticación gestionado por contenedor, seleccione el alias JAAS que ha definido en un paso anterior.
    3. Pulse Aceptar y, a continuación, pulse Guardar para guardar la configuración.
  5. Asigne roles.

    Los roles deben asignarse para autorizar el acceso al bus y a los destinos de bus de entrada y salida. Estas asignaciones de roles pueden realizarse en la consola administrativa: Seguridad > Seguridad de bus > nombre_bus > Inhabilitado > Usuarios y grupos en el rol de conector de bus.

    También puede asignar roles utilizando cualquiera de los siguientes mandatos wsadmin:

    • $AdminTask addUserToBusConnectorRole {-bus nombreBus -user username}
    • $AdminTask addGroupToBusConnectorRole {-bus nombreBus –group groupname}

    Realice las siguientes asignaciones de roles:

    1. JobSchedulerBus Asigne el rol BusConnector a los siguientes ID de usuario:
      • com.ibm.ws.grid.ActivationSpec para permitir al planificador de trabajos acceder al bus.
      • Cada una de las identidades utilizadas por WSGrid para autenticar el acceso de cliente a la cola de entrada (consulte el paso 4). Esto permite al invocador de WSGrid acceder al bus.
    2. Permita el acceso al destino com.ibm.ws.grid.InputQueue.

      Permita el acceso a este destino asignado roles de remitente, destinatario y navegador a los mismos ID de usuario. Estos ID son los mismos a los que ha asignado el rol BusConnector en el paso anterior. Sólo puede permitir el acceso por medio de mandatos wsadmin:

      • En Jacl:
        $AdminTask addUserToDestinationRole {-type queue –bus JobSchedulerBus 
          -destination com.ibm.ws.grid.InputQueue -role Sender -user nombreUsuario}
        o
        $AdminTask addGroupToDestinationRole {-type queue –bus JobSchedulerBus
          -destination com.ibm.ws.grid.InputQueue -role Sender –group nombreGrupo}
      • En Jython:
         AdminTask.setInheritDefaultsForDestination('-bus WSS.JobScheduler.Bus -type queue
          -destination com.ibm.ws.grid.InputQueue -inherit false')

      Repita para los roles de receptor y navegador.

    3. com.ibm.ws.grid.OutputQueue

      Permita el acceso a este destino asignando los mismos roles al destino com.ibm.ws.grid.OutputQueue tal como se asignaron para com.ibm.ws.grid.InputQueue en el paso anterior.

  6. Autentique el acceso de cliente a la cola de entrada.
    1. Especifique las propiedades del ID de usuario y la contraseña en el archivo de propiedades de control de entrada de WSGrid.
      submitter-userid=nombreUsuario
      submitter-password=contraseña
    2. Opcional: Codifique la contraseña con el programa de utilidad PropFilePasswordEncoder de WebSphere.

Icon that indicates the type of topic Task topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tgrid_cgexsched
File name: tgrid_cgexsched.html