[Windows][UNIX][Linux]

AMQP-Clients schützen

Sie verwenden eine Reihe von Sicherheitsmechanismen, um Verbindungen von AMQP-Clients zu sicher und zu gewährleisten, das die Daten im Netz in geeigneter Weise geschützt sind. Sie können die Sicherheit in Ihren MQ Light-Anwendungen erstellen. Sie können auch vorhandene Sicherheitsfunktionen von IBM® MQ mit AMQP-Clients verwenden, so wie die Funktionen für andere Anwendungen verwendet werden.

Kanalauthentifizierungsregeln (CHLAUTH)

Mit den Kanalauthentifizierungsregeln können Sie TCP-Verbindungen auf einen Warteschlangenmanager beschränken. AMQP-Kanäle unterstützen die Verwendung von Kanalauthentifizierungsregeln, die Sie für Ihren Warteschlangenmanager konfigurieren. Wenn Kanalauthentifizierungsregeln mit einem Profil definiert werden, das mit AMQP-Kanälen in Ihrem Warteschlangenmanager übereinstimmt, werden die Regeln für diese Kanäle angewendet. Standardmäßig ist die Kanalauthentifizierung auf neuen IBM MQ -Warteschlangenmanagern aktiviert, sodass Sie mindestens einige Konfigurationsschritte ausführen müssen, bevor Sie einen AMQP-Kanal verwenden können.

Weitere Informationen zur Konfiguration von Kanalauthentifizierungsregeln für AMQP-Verbindungen zu Ihrem Warteschlangenmanager finden Sie unter AMQP-Kanäle erstellen und verwenden.

[V8.0.0.4 Okt 2015]

Verbindungsauthentifizierung (CONNAUTH)

Mit der Verbindungsauthentifizierung können Sie Verbindungen zu einem Warteschlangenmanager authentifizieren. AMQP-Kanäle unterstützen die Verwendung der Verbindungsauthentifizierung, um den Zugriff auf die Warteschlangenmanager aus AMQP-Anwendungen zu steuern.

Das AMQP-Protokoll verwendet das SASL-Framework (Simple Authentication and Security Layer), um anzugeben, wie eine Verbindung authentifiziert wird. Es gibt verschiedene SASL-Mechanismen und IBM MQ unterstützt zwei SASL-Mechanismen: ANONYMOUS und PLAIN.

Bei der Verwendung von ANONYMOUS werden keine Berechtigungsnachweise vom Client zur Authentifizierung an den Warteschlangenmanager übergeben. Wenn das im Attribut CONNAUTH angegebene MQ-Objekt AUTHINFO den CHCKCLNT-Wert REQUIRED oder REQDADM hat (bei der Verbindung als Benutzer mit Verwaltungsaufgaben), wird die Verbindung zurückgewiesen. Wenn CHCKCLNT den Wert NONE oder OPTIONAL hat, wird die Verbindung akzeptiert.

Bei der Verwendung von PLAIN wird ein Benutzername und ein Kennwort vom Client zur Authentifizierung an den Warteschlangenmanager übergeben. Wenn das im Attribut CONNAUTH angegebene MQ-Objekt AUTHINFO den CHCKCLNT-Wert NONE hat, wird die Verbindung zurückgewiesen. Wenn CHCKCLNT den Wert OPTIONAL, REQUIRED oder REQDADM hat (bei der Verbindung als Benutzer mit Verwaltungsaufgaben), wird der Benutzername und das Kennwort vom Warteschlangenmanager geprüft. Der Warteschlangenmanager überprüft das Betriebssystem (wenn das Objekt AUTHINFO den Typ IDPWOS hat) oder ein LDAP-Repository (wenn das Objekt AUTHINFO den Typ IDPWLDAP hat).

In der folgenden Tabelle wird diese Authentifizierung zusammengefasst:
Tabelle 1. Zusammenfassung von SASL-Verfahren und Verbindungsauthentifizierung
SASL-Verfahren Werden Berechtigungsnachweise vom Client an den Warteschlangenmanager übergeben? CHCKCLNT-Wert
ANONYMOUS Nein
REQUIRED oder REQDADM-Verbindung zurückgewiesen

NONE oder OPTIONAL-Verbindung akzeptiert
PLAIN Ja, Benutzername und Kennwort
REQUIRED, REQDADM oder OPTIONAL-Benutzername und Kennwort werden vom Warteschlangenmanager geprüft

NONE-Verbindung verweigert
Wenn Sie einen MQ Light -Client verwenden, können Sie Berechtigungsnachweise angeben, indem Sie sie in die AMQP-Adresse einschließen, zu der Sie eine Verbindung herstellen. Beispiel:
amqp://mwhitehead:mYp4ssw0rd@localhost:5672/sports/football
[V8.0.0.4 Okt 2015]

MCAUSER-Einstellung in einem Kanal

AMQP-Kanäle verfügen über ein Attribut MCAUSER, mit dem Sie die IBM MQ -Benutzer-ID festlegen können, unter der alle Verbindungen zu diesem Kanal autorisiert sind. Alle Verbindungen von AMQP-Clients zu diesem Kanal übernehmen die MCAUSER-ID, die Sie konfiguriert haben. Mit dieser Benutzer-ID wird die Nachrichtenübermittlung zu verschiedenen Themen autorisiert.

Es wird empfohlen, Verbindungen zu Warteschlangenmanagern mit der Kanalauthentifizierung (CHLAUTH) zu sichern. Wenn Sie die Kanalauthentifizierung verwenden, wird empfohlen, den Wert von MCAUSER für einen nicht privilegierten Benutzer zu konfigurieren. Wenn eine Verbindung zu einem Kanal nicht mit einer CHLAUTH-Regel übereinstimmt, wird somit sichergestellt, dass mit dieser Verbindung keine Nachrichtenübertragung an den Warteschlangenmanager ausgeführt werden kann.

SSL/TLS-Unterstützung

AMQP-Kanäle unterstützen die SSL/TLS-Verschlüsselung mithilfe von Schlüsseln aus dem Schlüsselrepository, das für Ihren Warteschlangenmanager konfiguriert ist. Die Konfigurationsoptionen für AMQP-Kanäle zur SSL/TLS-Verschlüsselung unterstützen die gleichen Optionen wie andere Typen von MQ-Kanälen. Sie können eine Verschlüsselungsspezifikation angeben und festlegen, ob für den Warteschlangenmanager Zertifikate aus AMQP-Clientverbindungen erforderlich sind.

Durch die Verwendung der FIPS-Attribute des Warteschlangenmanagers können Sie die SSL/TLS-Cipher-Suites steuern, mit denen sichere Verbindungen von AMQP-Clients hergestellt werden können.

Informationen zum Einrichten eines Schlüssel-Repositorys für den Warteschlangenmanager finden Sie unter Arbeiten mit SSL oder TLS auf UNIX-, Linux - und Windows-Systemen.

Informationen zur Konfiguration der SSL/TLS-Unterstützung für eine AMQP-Clientverbindung finden Sie unter AMQP-Kanäle erstellen und verwenden.