Servidor IBM MQ: conexión y autenticación

Cada definición de servidor IBM MQ incluye las propiedades de conexión y los valores de autenticación que utiliza la integración de servicios para conectarse al gestor de colas o al grupo de compartimiento de colas IBM MQ asociado, ya sea para el descubrimiento de recursos o para la mensajería.

Conexión

La integración de servicios se conecta a la red IBM MQ en las situaciones siguientes:
  • Cuando, como parte del proceso de creación de un servidor IBM MQ utilizando la consola administrativa, el proceso de descubrimiento de recursos automático se ejecuta para capturar información de recurso directamente de IBM MQ. Los mandatos wsadmin no dan soporte al descubrimiento de recursos automático.
  • Cuando el servidor IBM MQ se utiliza para pasar mensajes entre la integración de servicios y IBM MQ.
La vía de acceso de conexión viene determinada por el host, el puerto, la cadena de transporte y el canal de conexión de IBM MQ que especifica al crear la definición de servidor IBM MQ. Se obtiene esta información del administrador del sistema IBM MQ. La vía de acceso de conexión también se ve afectada por la modalidad de conexión que se especifique:
  • Puede utilizar la modalidad de transporte de cliente para establecer una conexión de red TCP/IP entre la integración de servicios y IBM MQ.
  • Si WebSphere Application Server y IBM MQ se vuelven a colocar en el mismo sistema (o, para los sistemas z/OS, en la misma partición del mismo sistema), es más eficaz utilizar la modalidad de transporte de enlaces para establecer una conexión entre la integración de servicios y IBM MQ.

Para obtener más información sobre los mecanismos que se utilizan para conectarse a IBM MQ for z/OS, consulte la publicación z/OS System Setup Guide en el Information Center de IBM MQ.

Autenticación

Probablemente, el administrador del sistema IBM MQ deseará que se autentique la integración de servicios con IBM MQ, siempre que se conecte. Esto se produce siempre que los datos necesitan ser intercambiados con un punto de cola o un punto de mediación asignado a un miembro del bus del servidor IBM MQ, y cuando el proceso de descubrimiento de recursos automatizado se ejecuta mientras está configurando un servidor IBM MQ utilizando la consola administrativa.

El administrador del sistema IBM MQ también podría desear configurar dos cuentas de usuario distintas en el sistema IBM MQ: una con sólo los privilegios necesarios para el descubrimiento de recursos y una con sólo los privilegios necesarios para la mensajería. La definición del servidor IBM MQ soporta este requisito permitiéndole configurar el servidor MQ con dos alias de autenticación, que corresponden a estas dos cuentas.

Los alias de autenticación tienen la longitud restringida a 12 caracteres como máximo, porque el ID de usuario que utiliza IBM MQ para comprobar la identidad de nuevas conexiones también tiene esta restricción. Si un alias de autenticación supera los 12 caracteres de longitud, los alias se truncan.

Si está utilizando Resource Access Control Facility (RACF) como gestor de seguridad de su sistema IBM MQ for z/OS, y está utilizando la modalidad de transporte de enlaces, deberá especificar con letras mayúsculas los nombres y contraseñas de los alias de autenticación. Si utiliza RACF y la modalidad de transporte de cliente, puede especificar los nombres de usuario y las contraseña pueden estar en mayúsculas o en minúsculas.

Si existe un alias de autenticación, el nombre de usuario y la contraseña que contiene son examinados por IBM MQ utilizando una salida de seguridad del canal IBM MQ. IBM MQ for z/OS proporciona una salida de seguridad de ejemplo CSQ4BCX3, que demuestra cómo puede realizar la autenticación basándose en esta información.

Cuando los mensajes se envían a IBM MQ para el descubrimiento de recursos, se utiliza la opción MQPMO_SET_IDENTITY_CONTEXT. Las credenciales utilizadas para establecer una conexión de mensajería deben tener autoridad para afirmarlo.

La modalidad de conexión que utiliza para conectarse a IBM MQ repercute en las credenciales que se utilizan:
  • Para una conexión de modalidad de transporte de cliente, el ID de usuario y la contraseña del alias de autenticación son utilizados por IBM MQ. Si no se especifica un alias de autenticación en la definición del servidor IBM MQ, IBM MQ se presenta con una serie vacía para el ID de usuario y también la contraseña.
  • Para una conexión de modalidad del transporte de enlaces, las credenciales asociadas a los procesos del servidor de aplicaciones se utilizan para la autenticación por parte de IBM MQ. Por lo tanto, la integración de servicios instruye a los procesos del servidor para que cambien las credenciales y utilicen el ID de usuario y la contraseña que existen en el alias de autenticación del servidor IBM MQ relevante. Esto a su vez requiere que los procesos del servidor de aplicaciones empiecen con privilegios suficientes para conectarse y realizar el intercambio. Si no se especifica un alias de autenticación en la definición del servidor IBM MQ, no se intenta cambiar ninguna credencial y se utilizan las credenciales originales del proceso del servidor de aplicaciones. [z/OS]En el caso del descubrimiento de recursos, las credenciales son aquéllas de un espacio de direcciones sirviente en una configuración de servidor único, y aquéllas del espacio de direcciones del gestor de despliegue en la configuración de despliegue en red. Para el trabajo de mensajería, las credenciales son aquéllas del espacio de direcciones de complemento de la región de control.

Alteración temporal de los valores de conexión y autenticación

Al añadir la definición del servidor IBM MQ a un bus de integración de servicios para convertirlo en un miembro, puede alterar temporalmente los valores del servidor y el alias de autenticación utilizado para la mensajería, con los valores de conexión y el alias de autenticación utilizados por el bus. Puede utilizar esta opción para crear una instancia específica del bus de dicho servidor y es práctica en una configuración de múltiples buses. Normalmente, haría esto para diferencias conexiones de buses diferentes y, potencialmente, aplicar diferentes valores de seguridad.


Icon that indicates the type of topic Concept topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=cjfp0018_
File name: cjfp0018_.html