Serveur IBM MQ : Connexion et authentification

Chaque définition de serveur IBM MQ contient les propriétés de connexion et les paramètres d'authentification que l'intégration de services utilise pour se connecter au gestionnaire de files d'attente IBM MQ ou au groupe de partage de files d'attente associé, soit pour la reconnaissance de ressource soit pour la messagerie.

Connexion

L'intégration de services se connecte au réseau IBM MQ dans les situations suivantes :
  • Lorsque, au cours de la création d'un serveur IBM MQ en utilisant la console d'administration, le processus automatique de reconnaissance des ressources s'exécute pour capturer les informations de ressources directement depuis IBM MQ. Les commandes wsadmin ne prennent pas en charge la reconnaissance automatique des ressources.
  • Lorsque le serveur IBM MQ est utilisé pour transmettre les messages entre l'intégration de services et IBM MQ.
Le chemin d'accès de la connexion est déterminé par l'hôte, le port, la chaîne de transport et le canal de connexion IBM MQ MQ que vous indiquez lors de la création d'une définition de serveur IBM MQ. C'est l'administrateur système de IBM MQ qui vous procure ces informations. Le chemin d'accès de la connexion est également affecté par le mode de connexion que vous spécifiez :
  • Vous pouvez utiliser le mode de transfert client pour établir une connexion de réseau TCP/IP entre l'intégration de services et IBM MQ.
  • Si WebSphere Application Server et IBM MQ se trouvent sur le même système (ou, pour les systèmes z/OS, dans la même partition du même système), il est plus efficace d'utiliser un mode de transport liaison pour connecter l'intégration de services et IBM MQ.

Pour plus d'informations sur les mécanismes utilisés pour se connecter à IBM MQ for z/OS, voir z/OS System Setup Guide dans le centre de documentation IBM MQ.

Authentification

En général, l'administrateur système de IBM MQ souhaite que l'intégration de services s'authentifie auprès de IBM MQ à chaque connexion, c'est-à-dire lorsque les données de message doivent être échangées avec un point de file d'attente ou de médiation affecté à un membre de bus du serveur IBM MQ et lorsque le processus de reconnaissance automatisé des ressources s'exécute alors que vous configurez un serveur IBM MQ avec la console d'administration.

L'administrateur système de IBM MQ peut décider de configurer deux comptes utilisateur différents sur le système IBM MQ : l'un disposant uniquement des droits requis pour la reconnaissance des ressources et l'autre disposant uniquement des droits requis pour la messagerie. La définition de serveur IBM MQ satisfait cette exigence en vous permettant de configurer le serveur MQ avec deux alias d'authentification correspondant à ces deux comptes.

Les alias d'authentification ne peuvent pas comporter plus de 12 caractères car l'ID utilisateur que IBM MQ utilise pour vérifier l'identité des nouvelles connexions est également limité à 12 caractères. Si l'alias d'authentification comporte plus de 12 caractères, il est tronqué.

Si vous utilisez une fonction de contrôle d'accès aux données RACF (Resource Access Control Facility) comme gestionnaire de sécurité sur le système IBM MQ for z/OS et un transport en mode liaison, vous devez indiquer les noms d'utilisateur et les mots de passe des alias d'authentification en lettres majuscules. Si vous utilisez RACF et le mode de transport client, les noms d'utilisateur et les mots de passe peuvent être indiqués en lettres majuscules ou minuscules.

Lorsqu'il existe un alias d'authentification, le nom d'utilisateur et le mot de passe qu'il contient sont analysés par l'exit de sécurité du canal IBM MQ en utilisant un exit de sécurité de canal IBM MQ. IBM MQ for z/OS est fourni avec l'exemple d'exit de sécurité CSQ4BCX3, qui montre comment effectuer une authentification en fonction de ces informations.

Lorsque des messages sont envoyés à IBM MQ pour la reconnaissance de ressources, l'option MQPMO_SET_IDENTITY_CONTEXT est utilisée. Pour ce faire, les droits d'accès utilisés pour établir une connexion de messagerie doivent être suffisamment importants.

Le mode de connexion que vous utilisez pour la connexion à IBM MQ a une incidence sur les justificatifs :
  • Dans le cas d'une connexion en mode de transport client, l'ID utilisateur et le mot de passe de l'alias d'authentification sont utilisés par IBM MQ. Si aucun alias d'authentification n'est indiqué dans la définition de serveur IBM MQ, IBM MQ reçoit une chaîne vide pour l'ID utilisateur et le mot de passe.
  • Pour une connexion en mode de transport liaison, les droits d'accès associés aux processus de serveur d'applications sont utilisés pour l'authentification effectuée par IBM MQ. Par conséquent, l'intégration de services demande aux processus du serveur d'applications de changer de justificatifs et d'utiliser l'ID utilisateur et le mot de passe qui existent dans l'alias d'authentification du serveur IBM MQ approprié. Les processus du serveur d'applications doivent donc démarrer avec des droits suffisants pour la connexion et le changement de justificatifs. Si aucun alias d'authentification n'est spécifié dans la définition de serveur IBM MQ, le changement de justificatifs n'est pas tenté et les justificatifs d'origine du processus de serveur d'applications sont utilisés. [z/OS]Pour la reconnaissance des ressources, les informations d'identification sont celles d'un espace adresse de serviteur dans une configuration de serveur unique et celles de l'espace adresse du gestionnaire de déploiement dans une configuration de déploiement réseau. Dans le cas d'une tâche de messagerie, les justificatifs utilisés sont ceux de l'espace adresse de l'auxiliaire de région de contrôle.

Remplacement de la connexion et des paramètres d'authentification

Lorsque vous ajoutez la définition de serveur IBM MQ à un bus d'intégration de services pour qu'il en devienne membre, vous pouvez remplacer les paramètres du serveur et l'alias d'authentification utilisés pour la messagerie par les paramètres de connexion et l'alias d'authentification utilisés par le bus. Cette option permet de créer une instance spécifique au bus pour le serveur en question et elle est utile dans une configuration à plusieurs bus. En général, cela permet de différencier des connexions émanant de bus différents et, éventuellement, d'appliquer des paramètres de sécurité différents.


Icône indiquant le type de rubrique Rubrique de concept



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=cjfp0018_
Nom du fichier : cjfp0018_.html