Servidor IBM MQ: conexión y autenticación
Cada definición de servidor IBM MQ incluye las propiedades de conexión y los valores de autenticación que utiliza la integración de servicios para conectarse al gestor de colas o al grupo de compartimiento de colas IBM MQ asociado, ya sea para el descubrimiento de recursos o para la mensajería.
Conexión
- Cuando, como parte del proceso de creación de un servidor IBM MQ utilizando la consola administrativa, el proceso de descubrimiento de recursos automático se ejecuta para capturar información de recurso directamente de IBM MQ. Los mandatos wsadmin no dan soporte al descubrimiento de recursos automático.
- Cuando el servidor IBM MQ se utiliza para pasar mensajes entre la integración de servicios y IBM MQ.
- Puede utilizar la modalidad de transporte de cliente para establecer una conexión de red TCP/IP entre la integración de servicios y IBM MQ.
- Si WebSphere Application Server y IBM MQ se vuelven a colocar en el mismo sistema (o, para los sistemas z/OS, en la misma partición del mismo sistema), es más eficaz utilizar la modalidad de transporte de enlaces para establecer una conexión entre la integración de servicios y IBM MQ.
Para obtener más información sobre los mecanismos que se utilizan para conectarse a IBM MQ for z/OS, consulte la publicación z/OS System Setup Guide en el Information Center de IBM MQ.
Autenticación
Probablemente, el administrador del sistema IBM MQ deseará que se autentique la integración de servicios con IBM MQ, siempre que se conecte. Esto se produce siempre que los datos necesitan ser intercambiados con un punto de cola o un punto de mediación asignado a un miembro del bus del servidor IBM MQ, y cuando el proceso de descubrimiento de recursos automatizado se ejecuta mientras está configurando un servidor IBM MQ utilizando la consola administrativa.
El administrador del sistema IBM MQ también podría desear configurar dos cuentas de usuario distintas en el sistema IBM MQ: una con sólo los privilegios necesarios para el descubrimiento de recursos y una con sólo los privilegios necesarios para la mensajería. La definición del servidor IBM MQ soporta este requisito permitiéndole configurar el servidor MQ con dos alias de autenticación, que corresponden a estas dos cuentas.
Los alias de autenticación tienen la longitud restringida a 12 caracteres como máximo, porque el ID de usuario que utiliza IBM MQ para comprobar la identidad de nuevas conexiones también tiene esta restricción. Si un alias de autenticación supera los 12 caracteres de longitud, los alias se truncan.
Si está utilizando Resource Access Control Facility (RACF) como gestor de seguridad de su sistema IBM MQ for z/OS, y está utilizando la modalidad de transporte de enlaces, deberá especificar con letras mayúsculas los nombres y contraseñas de los alias de autenticación. Si utiliza RACF y la modalidad de transporte de cliente, puede especificar los nombres de usuario y las contraseña pueden estar en mayúsculas o en minúsculas.
Si existe un alias de autenticación, el nombre de usuario y la contraseña que contiene son examinados por IBM MQ utilizando una salida de seguridad del canal IBM MQ. IBM MQ for z/OS proporciona una salida de seguridad de ejemplo CSQ4BCX3, que demuestra cómo puede realizar la autenticación basándose en esta información.
Cuando los mensajes se envían a IBM MQ para el descubrimiento de recursos, se utiliza la opción MQPMO_SET_IDENTITY_CONTEXT. Las credenciales utilizadas para establecer una conexión de mensajería deben tener autoridad para afirmarlo.
- Para una conexión de modalidad de transporte de cliente, el ID de usuario y la contraseña del alias de autenticación son utilizados por IBM MQ. Si no se especifica un alias de autenticación en la definición del servidor IBM MQ, IBM MQ se presenta con una serie vacía para el ID de usuario y también la contraseña.
- Para una conexión de modalidad del transporte de enlaces, las credenciales asociadas a los procesos del servidor de aplicaciones se utilizan para la autenticación por parte de IBM MQ.
Por lo tanto, la integración de servicios instruye a los procesos del servidor para que cambien las
credenciales y utilicen el ID de usuario y la contraseña que existen en
el alias de autenticación del servidor IBM MQ relevante. Esto a su vez requiere que los procesos del servidor de aplicaciones empiecen con privilegios suficientes para conectarse y realizar el intercambio.
Si no se especifica un alias de autenticación en la definición del servidor IBM MQ, no se intenta cambiar ninguna credencial y se utilizan las credenciales originales del proceso del servidor de aplicaciones.
En el caso del descubrimiento de recursos, las credenciales son aquéllas de un espacio de direcciones sirviente en una configuración de servidor único, y aquéllas del espacio de direcciones del gestor de despliegue en la configuración de despliegue en red. Para el trabajo de mensajería, las credenciales son aquéllas del espacio de direcciones de complemento de la región de control.
Alteración temporal de los valores de conexión y autenticación
Al añadir la definición del servidor IBM MQ a un bus de integración de servicios para convertirlo en un miembro, puede alterar temporalmente los valores del servidor y el alias de autenticación utilizado para la mensajería, con los valores de conexión y el alias de autenticación utilizados por el bus. Puede utilizar esta opción para crear una instancia específica del bus de dicho servidor y es práctica en una configuración de múltiples buses. Normalmente, haría esto para diferencias conexiones de buses diferentes y, potencialmente, aplicar diferentes valores de seguridad.