IBM MQ サーバー : 接続および認証

IBM MQ サーバー定義には接続プロパティーおよび認証設定が含まれます。サービス統合では、リソース・ディスカバリーまたはメッセージングのいずれかのために、関連する IBM MQ キュー・マネージャーまたはキュー共有グループに接続する際にこれらのプロパティーおよび設定を使用します。

接続

サービス統合は、次の場合に IBM MQ ネットワークに接続します。
  • 管理コンソールを使用して IBM MQ サーバーを作成するプロセスの一部として、自動リソース・ディスカバリー・プロセスが実行されて IBM MQ からリソース情報が直接収集される場合。wsadmin コマンドは、 リソースの自動ディスカバリーをサポートしません。
  • サービス統合と IBM MQ との間でのメッセージの受け渡しに IBM MQ サーバーを使用する場合。
接続アクセス・パスは、IBM MQ サーバー定義を作成するときに指定する、ホスト、ポート、トランスポート・チェーン、および IBM MQ 接続チャネルによって決まります。この情報は、IBM MQ システム管理者から取得します。接続アクセス・パスは、以下のように指定する接続モードによっても影響されます。
  • クライアント・トランスポート・モードを使用して、サービス統合と IBM MQ の間に TCP/IP ネットワーク接続を確立することができます。
  • WebSphere® Application Server および IBM MQ が同じシステム上の同じ場所 (z/OS® システムの場合は、同じシステムの同じパーティション上) にある場合は、バインディング・トランスポート・モードを使用して、サービス統合と IBM MQ 間を接続するのが効率的です。

IBM MQ for z/OS への接続に使用されるメカニズムについて詳しくは、IBM MQ インフォメーション・センターで「z/OS システムのセットアップ・ガイド」を参照してください。

認証

IBM MQ システム管理者は、サービス統合を接続する際には必ず IBM MQ によって認証させたいと考えることが多いはずです。そのような状況に該当するのは、IBM MQ サーバー・バス・メンバーに割り当てられたキュー・ポイントまたはメディエーション・ポイントとの間でメッセージ・データを交換する必要がある場合や、管理コンソールを使用して IBM MQ サーバーを構成しているときに、自動化リソース・ディスカバリー・プロセスが実行される場合です。

さらに、IBM MQ システム管理者は、IBM MQ システム上に 2 つの異なるユーザー・アカウントをセットアップしたいと考える場合があります。1 つはリソース・ディスカバリーに必要な特権のみを持つユーザー・アカウント、もう一つはメッセージングに必要な特権のみを持つユーザー・アカウントです。IBM MQ サーバー定義は、これら 2 つのアカウントに対応する 2 つの認証別名を使用して MQ サーバーを構成できるようにすることで、この要件をサポートします。

認証別名は最大で 12 文字の長さに制限されています。 これは、IBM MQ が新規接続の ID の検査に使用するユーザー ID にも同様の制限があるためです。 認証別名が 12 文字の長さを超える場合は、 切り捨てられます。

IBM MQ for z/OS システム上のセキュリティー・マネージャーとしてリソース・アクセス管理機能 (RACF®) を使用していて、かつ、バインディング・トランスポート・モードを使用している場合は、認証別名のユーザー名とパスワードを大文字で指定しなければなりません。RACF およびクライアント・トランスポート・モードを使用している場合は、ユーザー名とパスワードを大文字または小文字で指定できます。

認証別名が存在する場合、それに含まれるユーザー名とパスワードは、IBM MQ チャネル・セキュリティー出口を使用して IBM MQ によって調べられます。IBM MQ for z/OS では、出口の情報に基づいて認証される様子を示す、サンプルのセキュリティー出口 CSQ4BCX3 が提供されています。

リソース・ディスカバリーのためにメッセージが IBM MQ に送られる場合、MQPMO_SET_IDENTITY_CONTEXT オプションが使用されます。メッセージング接続の確立に使用されるクレデンシャルは、 これを表明する権限を持っている必要があります。

IBM MQ への接続に使用する接続モードによって、以下のいずれのクレデンシャルが使用されるのかが決まります。
  • クライアント・トランスポート・モード接続の場合、IBM MQ では認証別名のユーザー ID およびパスワードを使用します。 IBM MQ サーバー定義に認証別名が指定されていない場合、IBM MQ では、ユーザー ID とパスワードの両方に空ストリングが表示されます。
  • バインディング・トランスポート・モード接続の場合、IBM MQ は、アプリケーション・サーバー・プロセスに関連付けられたクレデンシャルを認証に使用します。したがって、サービス統合はアプリケーション・サーバー・プロセスに対し、 クレデンシャルを切り替えて、関連する IBM MQ サーバーの認証別名内のユーザー ID およびパスワードを使用するように指示します。 つまり、 アプリケーション・サーバー・プロセスは、接続して切り替えを実行するのに十分な特権を持って開始される必要があります。 IBM MQ サーバー定義に認証別名が指定されない場合、クレデンシャルの切り替えが行われないため、アプリケーション・サーバー・プロセスの元のクレデンシャルが使用されます。[z/OS]リソース・ディスカバリーの場合のクレデンシャルは、単一サーバー構成ではサーバント・アドレス・スペースのクレデンシャルであり、 ネットワーク・デプロイメント構成ではデプロイメント・マネージャー・アドレス・スペースのクレデンシャルです。 メッセージング作業の場合のクレデンシャルは、制御領域付加属性アドレス・スペースのクレデンシャルです。

接続および認証設定のオーバーライド

IBM MQ サーバー定義をサービス統合バスに追加してバス・メンバーにする場合、メッセージングに使用されるサーバー設定と認証別名を、バスが使用する接続設定と認証別名によってオーバーライドすることができます。このオプションを使用すると、 そのサーバーのバス固有インスタンスを作成することができるため、複数のバス構成で使用すると便利です。 通常、バスごとに接続を区別する場合、または異なるセキュリティー設定を適用する場合に、 このようにします。


トピックのタイプを示すアイコン 概念トピック



タイム・スタンプ・アイコン 最終更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=cjfp0018_
ファイル名:cjfp0018_.html