Servidor IBM MQ: conexão e autenticação
Cada definição do servidor IBM MQ inclui as propriedades de conexão e as configurações de autenticação que a integração de serviço usa para se conectar ao gerenciador de filas ou ao grupo de filas compartilhadas do IBM MQ associado, para a descoberta de recursos ou para o sistema de mensagens.
Connection
- Quando, como parte do processo de criação de um servidor IBM MQ usando o console administrativo, o processo de descoberta de recurso automatizada é executado para capturar informações do recurso diretamente do IBM MQ. Os comandos wsadmin não suportarem a descoberta automática de recursos.
- Quando o servidor IBM MQ for utilizado para transmitir mensagens entre a integração de serviço e o IBM MQ.
- É possível utilizar o modo de transporte do cliente para estabelecer uma conexão de rede TCP/IP entre a integração de serviços e o IBM MQ.
- Se o WebSphere Application Server e o IBM MQ estiverem co-localizados no mesmo sistema (ou, no z/OS, na mesma partição do mesmo sistema), será mais eficiente utilizar o modo de transporte de ligações para conexão entre a integração de serviços e o IBM MQ.
Para obter mais informações sobre os mecanismos usados para se conectar ao IBM MQ for z/OS, consulte o z/OS System Setup Guide no IBM MQ 7.5.
Autenticação
O administrador de sistema do IBM MQ provavelmente desejará que a integração de serviços seja autenticada no IBM MQ sempre que conectar-se. Isso ocorrerá sempre que os dados da mensagem precisarem ser trocados por um ponto de fila ou um ponto de mediação designado a um membro do barramento do servidor IBM MQ e, quando o processo de descoberta de recursos automatizada for executado enquanto você estiver configurando um servidor IBM MQ usando o console administrativo.
O administrador de sistema do IBM MQ poderá também querer configurar duas contas de usuário diferentes no sistema do IBM MQ: uma somente com os privilégios necessários para a descoberta de recurso e outra somente com os privilégios necessários para o sistema de mensagens. A definição do servidor IBM MQ suporta esse requisito, permitindo que você configure o servidor MQ com dois aliases de autenticação, correspondendo a essas duas contas.
Os aliases de autenticação estão restritos, em comprimento, a 12 caracteres, pois o ID do usuário que o IBM MQ usa para verificar a identidade de novas conexões também apresenta essa restrição. Se os aliases de autenticação excederem 12 caracteres, eles serão truncados.
Se estiver usando o Resource Access Control Facility (RACF) como o gerenciador de segurança no seu sistema IBM MQ for z/OS e o modo de transporte de ligações, você deverá especificar em caracteres maiúsculos os nomes do usuário e as senhas para os aliases de autenticação. Se você estiver utilizando o modo de transporte de cliente e RACF, poderá especificar os nomes de usuário e as senhas em caracteres maiúsculos ou minúsculos.
Onde existir um alias de autenticação, o nome do usuário e a senha contidos serão examinados pelo IBM MQ usando uma saída de segurança do canal do IBM MQ. O IBM MQ for z/OS fornece uma saída de segurança de amostra CSQ4BCX3, que demonstra como se pode autenticar com base nestas informações.
Ao enviar mensagens para o IBM MQ para descoberta de recurso, a opção MQPMO_SET_IDENTITY_CONTEXT é utilizada. As credenciais utilizadas para estabelecer uma conexão do sistema de mensagens devem ter autoridade para fazer esta asserção.
- Para uma conexão do modo de transporte do cliente, o ID do usuário e a senha do alias de autenticação são usados pelo IBM MQ. Se um alias de autenticação não for especificado na definição do servidor do IBM MQ, o IBM MQ estará presente com uma cadeia vazia para ambos o ID do usuário e a senha.
- Para uma conexão de modo de transporte de ligações, as credenciais associadas aos
processos do servidor de aplicativos são utilizadas para autenticação pelo
IBM MQ.
Portanto, a integração de serviço instrui os processos do servidor de aplicativos para alternar credenciais e usar o ID do usuário e a senha existentes no alias de autenticação do servidor relevante do IBM MQ. Por sua vez, isso requer que os processos do servidor de aplicativos iniciem com privilégios suficientes para conectar e executar a troca.
Se um alias de autenticação não for especificado na definição do servidor IBM MQ, não haverá a tentativa de uma troca de credenciais, e as credenciais originais do processo do servidor de aplicativos serão utilizadas.
Para a descoberta de recursos, as credenciais serão aquelas de um espaço de endereço do servidor em uma única configuração de servidor e aquelas do espaço de endereço do gerenciador de implementação em uma configuração de implementação de rede. Para o trabalho do sistema de mensagens, as credenciais são as do espaço de endereço adjunto da região de controle.
Substituindo as Configurações de Conexão e Autenticação
Ao incluir a definição de servidor IBM MQ em um barramento de integração de serviços para torná-lo um membro do barramento, você poderá substituir as configurações do servidor e o alias de autenticação utilizado para sistema de mensagens, com as configurações de conexão e o alias de autenticação utilizados pelo barramento. É possível usar essa opção para criar uma instância específica do barramento desse servidor, sendo que ela é útil em uma configuração de barramentos múltiplos. Geralmente, você faz isso para diferenciar conexões de diferentes barramentos e, possivelmente, para aplicar diferentes configurações de segurança.