ALTER AUTHINFO (alterar objeto de información de autenticación)

Utilice el mandato MQSC ALTER AUTHINFO para modificar un objeto de información de autenticación. Estos objetos contienen las definiciones necesarias para realizar la comprobación de revocación de certificados utilizando OCSP o listas de revocación de certificados (CRL) en servidores LDAP, y las definiciones necesarias para comprobar las credenciales de autenticación proporcionadas por las aplicaciones.

Utilización de mandatos MQSC

Para obtener información sobre cómo utilizar los mandatos MQSC, consulte Administración de IBM® MQ utilizando mandatos MQSC.

Los parámetros no especificados en el mandato ALTER AUTHINFO dan como resultado que los valores existentes para esos parámetros se dejen sin modificar.

[z/OS] Puede emitir este mandato desde orígenes 2CR. Para obtener una explicación de los símbolos de origen, consulte Orígenes desde los que puede emitir mandatos MQSC y PCF en IBM MQ for z/OS®.

Existen diagramas de sintaxis separados para cada opción de parámetro AUTHTYPE :

Diagrama de sintaxis para TYPE (CRLLDAP)
Diagrama de sintaxis para TYPE (OCSP)
Diagrama de sintaxis para TYPE (IDPWOS)
Diagrama de sintaxis para TYPE (IDPWLDAP)
Descripciones de parámetros para ALTER AUTHINFO

Sinónimo: ALT AUTHINFO

Diagrama de sintaxis para AUTHTYPE(CRLLDAP)

ALTER AUTHINFO

Notas:

¹ Sólo es válido cuando el gestor de colas es miembro de un grupo de compartición de colas. Puede utilizar grupos de compartición de colas sólo en IBM MQ for z/OS.
² Sólo es válido en z/OS.

Diagrama de sintaxis para AUTHTYPE(OCSP)

ALTER AUTHINFO

Notas:

¹ Sólo es válido cuando el gestor de colas es miembro de un grupo de compartición de colas. Puede utilizar grupos de compartición de colas sólo en IBM MQ for z/OS.
² Sólo es válido en z/OS.

Diagrama de sintaxis para AUTHTYPE(IDPWOS)

ALTER AUTHINFO

Notas:

¹ Sólo es válido cuando el gestor de colas es miembro de un grupo de compartición de colas. Puede utilizar grupos de compartición de colas sólo en IBM MQ for z/OS.
² Sólo es válido en z/OS.
³ No es válido en z/OS y el valor de PAM sólo se puede establecer en AIX® and Linux®.
⁴ No válido en z/OS.

Diagrama de sintaxis para AUTHTYPE(IDPWLDAP)

ALTER AUTHINFO

Notas:

¹ No válido en z/OS.

Descripciones de parámetros para ALTER AUTHINFO

name

Nombre del objeto de información de autenticación. Este parámetro es necesario.

El nombre no debe ser el mismo que cualquier otro nombre de objeto de información de autenticación definido actualmente en este gestor de colas (a menos que se especifique REPLACE o ALTER ). Consulte Reglas para la denominación de objetos IBM MQ.

ADOPTCTX

Si hay que usar las credenciales presentadas como el contexto para esta aplicación. Esto significa que se utilizan para comprobaciones de autorización, se muestran en las pantallas administrativas y aparecen en los mensajes.

YES: El ID de usuario en las credenciales de autenticación presentadas en la estructura MQCSP, que se han validado correctamente, se adopta como el contexto a utilizar para esta aplicación. Por lo tanto, este ID de usuario tiene las credenciales comprobadas para la autorización para utilizar recursos de IBM MQ .; Si la aplicación presenta un ID de usuario y una contraseña, el ID de usuario de la estructura MQCSP se adopta si la contraseña se valida correctamente.; Si la aplicación presenta una señal de autenticación y la señal se valida correctamente, el ID de usuario de la reclamación de usuario de señal se adopta como contexto para la aplicación. El nombre de la reclamación de usuario de señal se especifica mediante el atributo UserClaim en la stanza AuthToken del archivo qm.ini . Para obtener más información sobre el atributo UserClaim , consulte UserClaim.; Si el ID de usuario presentado es un ID de usuario LDAP y las comprobaciones de autorización se realizan utilizando los ID de usuario del sistema operativo, el SHORTUSR asociado con la entrada de usuario en LDAP se adoptará como credenciales para las comprobaciones de autorización que se deben realizar.; ADOPTCTX(YES) sólo tiene efecto si CHCKCLNT o CHCKLOCL está establecido en un valor que hace que se validen las credenciales.
NO: La autenticación se realiza en las credenciales presentadas en la estructura MQCSP, pero las credenciales no se adoptan para su uso posterior. La autorización se realiza utilizando el ID de usuario con el que se ejecuta la aplicación.

El atributo ADOPTCTX sólo es válido para un AUTHTYPE de IDPWOS y IDPWLDAP.

AUTHENMD

Método de autenticación. Indica si se debe utilizar el sistema operativo o el Método de autenticación conectable (PAM) para autenticar contraseñas de usuario.

OS: Utilice el método de verificación de contraseña de UNIX tradicional.
PAM: Utilice el PAM para autenticar la contraseña de usuario.; Puede establecer el valor de PAM sólo en AIX and Linux.

Los cambios en este atributo sólo son efectivos después de ejecutar el mandato REFRESH SECURITY TYPE (CONNAUTH) .

El atributo AUTHENMD sólo es válido para un AUTHTYPE de IDPWOS.

AUTHORMD

Método de autorización.

OS: Utilice grupos de sistemas operativos para determinar los permisos asociados con un usuario.; Así es como IBM MQ ha funcionado anteriormente, y es el valor predeterminado.
SEARCHGRP: Una entrada de grupo en el repositorio LDAP contiene un atributo que lista el nombre distinguido de todos los usuarios que pertenecen a ese grupo. La pertenencia se indica mediante el atributo definido en FINDGRP. Este valor suele ser member o uniqueMember.
SEARCHUSR: Una entrada de usuario en el repositorio LDAP contiene un atributo que lista el nombre distinguido de todos los grupos a los que pertenece el usuario especificado. El atributo a consultar se define mediante el valor FINDGRP , normalmente memberOf.
SRCHGRPSN: Una entrada de grupo en el repositorio LDAP contiene un atributo que lista el nombre de usuario abreviado de todos los usuarios que pertenecen a ese grupo. El atributo del registro de usuario que contiene el nombre de usuario abreviado se especifica mediante SHORTUSR.; La pertenencia se indica mediante el atributo definido en FINDGRP. Este valor suele ser memberUid.
Nota: Este método de autorización sólo se debe utilizar si todos los nombres abreviados de usuario son distintos.

Muchos servidores LDAP utilizan un atributo del objeto de grupo para determinar la pertenencia a un grupo y, por lo tanto, debe establecer este valor en SEARCHGRP.

Microsoft Active Directory normalmente almacena las pertenencias a grupos como un atributo de usuario. IBM Tivoli Directory Server da soporte a ambos métodos.

En general, la recuperación de pertenencias a través de un atributo de usuario será más rápida que la búsqueda de grupos que listan el usuario como miembro.

AUTHTYPE

El tipo de información de autenticación.

CRLLDAP: La comprobación de la lista de revocación de certificados se realiza utilizando servidores LDAP.
IDPWLDAP: La comprobación de ID de usuario y contraseña de autenticación de conexión se realiza utilizando un servidor LDAP.
IDPWOS: La comprobación de ID de usuario y contraseña de autenticación de conexión se realiza utilizando el sistema operativo.; Las señales de autenticación proporcionadas por IBM MQ MQI clients se validan si el gestor de colas está configurado para aceptar señales de autenticación utilizando la stanza AuthToken del archivo qm.ini . Para obtener más información sobre la stanza AuthToken , consulte la sección AuthToken del archivo qm.ini.
OCSP: La comprobación de revocación de certificados se realiza utilizando OCSP.; Un objeto de información de autenticación con AUTHTYPE(OCSP) no se aplica para su uso en gestores de colas IBM i o z/OS . Sin embargo, se puede especificar en esas plataformas para que se copien en la tabla de definición de canal de cliente (CCDT) para su uso por parte del cliente.

El parámetro AUTHTYPE es obligatorio.

No puede definir un objeto de información de autenticación como LIKE otro objeto de autenticación con un AUTHTYPEdiferente. No puede modificar el AUTHTYPE de un objeto de información de autenticación después de haberlo creado.

BASEDNG

DN base para grupos.

Para poder encontrar nombres de grupo, este parámetro debe establecerse con el DN base para buscar grupos en el servidor LDAP.

BASEDNU(DN base )

Para poder encontrar el atributo de nombre de usuario abreviado, SHORTUSR, este parámetro debe establecerse con el DN base para buscar usuarios dentro del servidor LDAP.

El atributo BASEDNU sólo es válido para un AUTHTYPE de IDPWLDAP.

CHCKCLNT

Este atributo determina los requisitos de autenticación para las aplicaciones cliente, y sólo es válido para un AUTHTYPE de IDPWOS o IDPWLDAP. Los valores posibles son:

NONE: Las credenciales de autenticación proporcionadas por las aplicaciones cliente no se comprueban. Si una aplicación cliente proporciona un ID de usuario y una contraseña, o una señal de autenticación, , las credenciales se ignoran. ADOPTCTX no tendrá ningún efecto y los ID de usuario contenidos en MQCSP no se utilizarán para comprobaciones de autorización más adelante.
OPTIONAL: Las aplicaciones cliente no son necesarias para proporcionar credenciales de autenticación.; Las aplicaciones que proporcionan un ID de usuario y una contraseña en la estructura MQCSP los autentican el gestor de colas en el almacén de contraseñas indicado por AUTHTYPE. La conexión sólo puede continuar si el ID de usuario y la contraseña son válidos.; Si una aplicación proporciona una señal de autenticación y el gestor de colas está configurado para aceptar señales de autenticación, la señal se valida. La conexión sólo puede continuar si la señal la emite un emisor de confianza.; Esta opción puede resultar de utilidad durante la migración, por ejemplo.
REQUIRED: Todas las aplicaciones cliente deben proporcionar credenciales de autenticación en la estructura MQCSP .; Si una aplicación proporciona un ID de usuario y una contraseña, el gestor de colas autentica estas credenciales en el almacén de contraseñas indicado por AUTHTYPE. La conexión sólo puede continuar si el ID de usuario y la contraseña son válidos.; Si una aplicación proporciona una señal de autenticación y el gestor de colas está configurado para aceptar señales de autenticación, la señal se valida. La conexión sólo puede continuar si la señal la emite un emisor de confianza.; Si una aplicación no proporciona ninguna credencial de autenticación, la conexión se rechaza.
REQDADM: Todas las aplicaciones cliente que utilizan un ID de usuario privilegiado deben proporcionar credenciales de autenticación en la estructura MQCSP . Cualquier aplicación cliente que utilice un ID de usuario sin privilegios no está obligada a proporcionar credenciales de autenticación y se trata como con la configuración OPTIONAL.; Un usuario privilegiado es aquel que tiene autorizaciones administrativas completas para IBM MQ. Consulte Usuarios privilegiados para obtener más información.; El gestor de colas autentica cualquier ID de usuario y contraseña proporcionados en el almacén de contraseñas indicado por AUTHTYPE. La conexión sólo puede continuar si el ID de usuario y la contraseña son válidos.; Si una aplicación proporciona una señal de autenticación y el gestor de colas está configurado para aceptar señales de autenticación, la señal se valida. La conexión sólo puede continuar si la señal la emite un emisor de confianza.; Nota: El valor REQDADM para el atributo CHCKCLNT es irrelevante si el tipo de autenticación es LDAP. Esto se debe a que no existe ningún concepto de ID de usuario privilegiado cuando se utilizan cuentas de usuario LDAP. A las cuentas y grupos de usuarios LDAP se les debe asignar el permiso de forma explícita.; Este valor no está permitido en sistemas z/OS .

Importante:

Este atributo se puede alterar temporalmente mediante el atributo CHCKCLNT de la regla CHLAUTH que coincide con la conexión de cliente. Por lo tanto, el atributo CONNAUTH AUTHINFO CHCKCLNT del gestor de colas determina el comportamiento predeterminado de comprobación de clientes para las conexiones de clientes que no coinciden con una regla CHLAUTH, o cuando la regla CHLAUTH coincidente tiene CHCKCLNT ASQMGR.
Si selecciona NONE y la conexión del cliente coincide con un registro CHLAUTH con CHCKCLNT REQUIRED (o REQDADM en plataformas distintas de z/OS ), la conexión falla. Recibirá el siguiente mensaje:
- AMQ9793 en Multiplatforms.
- CSQX793E en z/OS.
Este parámetro sólo es válido con TYPE(USERMAP), TYPE(ADDRESSMAP) y TYPE (SSLPEERMAP), y sólo cuando USERSRC no está configurado como NOACCESS.
Este parámetro sólo se aplica a las conexiones de entrada que son canales de conexión de servidor.

CHCKLOCL

Este atributo determina los requisitos de autenticación para las aplicaciones vinculadas localmente, y sólo es válido para un AUTHTYPE de IDPWOS o IDPWLDAP.

Para obtener información sobre el uso de este atributo en IBM MQ Appliance, consulte Mandatos de control en IBM MQ Appliance en la documentación de IBM MQ Appliance .

Los valores posibles son:

NONE: Las credenciales de autenticación proporcionadas por las aplicaciones cliente no se comprueban. Si una aplicación enlazada localmente proporciona un ID de usuario y una contraseña, las credenciales se ignoran.
OPTIONAL: Las aplicaciones enlazadas localmente no son necesarias para proporcionar credenciales de autenticación.; Las aplicaciones que proporcionan un ID de usuario y una contraseña en la estructura MQCSP los autentican el gestor de colas en el almacén de contraseñas indicado por AUTHTYPE. La conexión sólo puede continuar si el ID de usuario y la contraseña son válidos.; Las señales de autenticación no se pueden proporcionar mediante aplicaciones enlazadas localmente.; Esta opción puede resultar de utilidad durante la migración, por ejemplo.
REQUIRED: Todas las aplicaciones enlazadas localmente deben proporcionar credenciales de autenticación en la estructura MQCSP .; Si una aplicación proporciona un ID de usuario y una contraseña, el gestor de colas autentica estas credenciales en el almacén de contraseñas indicado por AUTHTYPE. Solo se permitirá la conexión si son válidos el ID de usuario y la contraseña.; Las señales de autenticación no se pueden proporcionar mediante aplicaciones enlazadas localmente.; Si una aplicación no proporciona ninguna credencial de autenticación, la conexión se rechaza.; Si el ID de usuario tiene acceso UPDATE al perfil BATCH en la clase MQCONN, puede tratar CHCKLOCL(REQUIRED) como si fuera CHCKLOCL(OPTIONAL). Es decir, no tiene que proporcionar una contraseña, pero si lo hace, la contraseña debe ser la correcta.; Consulte Utilización de CHCKLOCL en aplicaciones enlazadas localmente.
REQDADM: Todas las aplicaciones enlazadas localmente que utilizan un ID de usuario privilegiado deben proporcionar credenciales de autenticación en la estructura MQCSP . Cualquier aplicación vinculada localmente que utilice un ID de usuario sin privilegios no debe proporcionar credenciales de autenticación y se trata como con la configuración OPTIONAL.; Un usuario privilegiado es aquel que tiene autorizaciones administrativas completas para IBM MQ. Consulte Usuarios privilegiados para obtener más información.; El gestor de colas autenticará cualquier ID de usuario y contraseña proporcionados en el almacén de contraseñas indicado por AUTHTYPE. Solo se permitirá la conexión si son válidos el ID de usuario y la contraseña.; Las señales de autenticación no se pueden proporcionar mediante aplicaciones enlazadas localmente.; (Este valor no está permitido en sistemas z/OS .)

CLASSGRP

La clase de objeto LDAP utilizada para registros de grupos en el depósito LDAP.

Si el valor está en blanco, se utiliza groupOfNames.

Otros valores utilizados habitualmente son groupOfUniqueNames o group.

CLASSUSR(LDAP_class_user )

La clase de objeto LDAP utilizada para los registros de usuario en el repositorio de LDAP.

Si está en blanco, el valor por defecto es inetOrgPerson, que suele ser el valor necesario.

Para Microsoft Active Directory, el valor que necesita a menudo es user.

Este atributo sólo es válido para un AUTHTYPE de IDPWLDAP.

CMDSCOPE

Este parámetro sólo se aplica a z/OS y especifica cómo se ejecuta el mandato cuando el gestor de colas es miembro de un grupo de compartición de colas.

CMDSCOPE debe estar en blanco, o el gestor de colas local, si QSGDISP está configurado como GROUP.

' ': El mandato se ejecuta en el gestor de colas en el que se ha especificado.
nombre-gestcolas: El mandato se ejecuta en el gestor de colas que especifique, siempre que el gestor de colas esté activo dentro del grupo de compartición de colas.
Puede especificar un nombre de gestor de colas distinto del gestor de colas en que se haya entrado el mandato, solamente si está utilizando un entorno de colas compartidas y si el servidor de mandatos está habilitado.
*: El mandato se ejecuta en el gestor de colas local y también se pasa a cada gestor de colas activo del grupo de compartición de colas. El efecto de * es el mismo que el de introducir el comando en cada gestor de colas del grupo de colas compartidas.

CONNAME(nombre de la conexión )

El nombre de host, la dirección decimal con puntos de IPv4 o la notación hexadecimal IPv6 del host en el que se ejecuta el servidor LDAP, con un número de puerto opcional.

Si especifica el nombre de conexión como una dirección IPv6 , sólo los sistemas con una pila IPv6 podrán resolver esta dirección. Si el objeto AUTHINFO forma parte de la lista de nombres de CRL del gestor de colas, asegúrese de que cualquier cliente que utilice la tabla de canales de cliente generada por el gestor de colas pueda resolver el nombre de conexión.

En z/OS, si un CONNAME se va a resolver en una dirección de red IPv6 , es necesario un nivel de z/OS que admita IPv6 para la conexión con un servidor LDAP.

La sintaxis de CONNAME es la misma que para los canales. Por ejemplo,

conname('hostname (nnn)')

donde nnn es el número de puerto.

La longitud máxima del campo es:

264 caracteres en Multiplatforms.
48 caracteres en z/OS.

Este atributo sólo es válido para un AUTHTYPE de CRLLDAP y IDPWLDAP, cuando el atributo es obligatorio.

Cuando se utiliza con AUTHTYPE de IDPWLDAP, puede ser una lista de nombres de conexión separados por comas.

DESCR(cadena )

Comentario en texto sin formato. Proporciona información descriptiva sobre el objeto de información de autenticación cuando un operador emite el mandato DISPLAY AUTHINFO (consulte DISPLAY AUTHINFO (visualizar información de autenticación) ).

Debe contener sólo caracteres visualizables. La longitud máxima es de 64 caracteres. En una instalación DBCS, contiene caracteres DBCS (sujetos a una longitud máxima de 64 bytes).

Nota: Si se utilizan caracteres que no están en el identificador de juego de caracteres codificados (CCSID) para este gestor de colas, es posible que se conviertan incorrectamente si la información se envía a otro gestor de colas.

FAILDLAY(tiempo de retardo )

Cuando se proporcionan credenciales de autenticación para la autenticación de conexión y la autenticación falla debido a que las credenciales son incorrectas, este es el retardo, en segundos, antes de que se devuelva la anomalía a la aplicación.

Esto puede ayudar a evitar bucles ocupados de una aplicación que simplemente reintenta, continuamente, después de recibir una anomalía.

El valor debe estar en el rango de 0 a 60 segundos. El valor predeterminado es 1.

El atributo FAILDLAY sólo es válido para un AUTHTYPE de IDPWOS y IDPWLDAP.

FINDGRP

Nombre del atributo utilizado en una entrada LDAP para determinar la pertenencia a grupos.

Cuando AUTHORMD = SEARCHGRP, el atributo FINDGRP se establece normalmente en member o uniqueMember.

Cuando AUTHORMD = SEARCHUSR, el atributo FINDGRP se establece normalmente en memberOf.

Cuando AUTHORMD = SRCHGRPSN, el atributo FINDGRP se establece normalmente en memberUid.

Si se deja en blanco, si:

AUTHORMD = SEARCHGRP, el atributo FINDGRP toma como valor predeterminado memberOf
AUTHORMD = SEARCHUSR, el atributo FINDGRP toma como valor predeterminado member
AUTHORMD = SRCHGRPSN, el atributo FINDGRP toma como valor predeterminado memberUid

GRPFIELD

Atributo LDAP que representa un nombre simple para el grupo.

Si el valor está en blanco, los mandatos como setmqaut deben utilizar un nombre calificado para el grupo. El valor puede ser un DN completo o un único atributo.

LDAPPWD( contraseña LDAP )

La contraseña asociada con el nombre distinguido del usuario que está accediendo al servidor LDAP. Su tamaño máximo es de 32 caracteres.

En z/OS, es posible que el LDAPPWD utilizado para acceder al servidor LDAP no sea el definido en el objeto AUTHINFO. Si se coloca más de un objeto AUTHINFO en la lista de nombres a la que hace referencia el parámetro QMGR SSLCRLNL, se utiliza LDAPPWD en el primer objeto AUTHINFO para acceder a todos los servidores LDAP.

El atributo GRPFIELD sólo es válido para un AUTHTYPE de CRLLDAP y IDPWLDAP.

LDAPUSER(usuario LDAP )

Nombre distinguido del usuario que está accediendo al servidor LDAP. (Consulte el parámetro SSLPEER para obtener más información sobre nombres distinguidos.)

El tamaño máximo para el nombre de usuario es:

1024 caracteres en Multiplatforms.
256 caracteres en z/OS.

En z/OS, es posible que el LDAPUSER utilizado para acceder al servidor LDAP no sea el definido en el objeto AUTHINFO. Si se coloca más de un objeto AUTHINFO en la lista de nombres a la que hace referencia el parámetro QMGR SSLCRLNL, se utiliza LDAPUSER en el primer objeto AUTHINFO para acceder a todos los servidores LDAP.

A partir de IBM MQ 9.2.0, si se hace referencia a más de un objeto OCSP de tipo AUTHINFO en NAMELIST, sólo se utilizará la primera entrada.

En Multiplatforms, la longitud máxima de línea aceptada se define como BUFSIZ, que se puede encontrar en stdio.h.

El atributo LDAPUSER sólo es válido para un AUTHTYPE de CRLLDAP y IDPWLDAP.

NESTGRP

Anidamiento de grupo.

NO: Sólo los grupos descubiertos inicialmente se tienen en cuenta para la autorización.
YES: La lista de grupos se busca de forma recursiva para enumerar todos los grupos a los que pertenece un usuario.

El nombre distinguido del grupo se utiliza al buscar la lista de grupos de forma recursiva, independientemente del método de autorización seleccionado en AUTHORMD.

OCSPURL( URL respuesta )

El URL del programa de respuesta OCSP utilizado para comprobar la revocación de certificados. Este valor debe ser un URL de HTTP que contenga el nombre de host y el número de puerto del respondedor OCSP. Si el programa de respuesta OCSP está utilizando el puerto 80, que es el valor predeterminado para HTTP, entonces el número de puerto se puede omitir. Los URL de HTTP se definen en la RFC 1738.

Este campo distingue entre mayúsculas y minúsculas. Debe empezar con la serie http:// en minúsculas. El resto de la URL puede distinguir entre mayúsculas y minúsculas, dependiendo de la implementación del servidor OCSP. Para conservar las mayúsculas y minúsculas, utilice comillas simples para especificar el valor del parámetro OCSPURL, por ejemplo:

OCSPURL ('http://ocsp.example.ibm.com')

Este parámetro sólo es aplicable para AUTHTYPE(OCSP), cuando es obligatorio.

QSGDISP

Este parámetro se aplica únicamente a z/OS.

Especifica la disposición del objeto al que está aplicando el mandato (es decir, dónde está definido y cómo se comporta).

Tabla 1. Comportamiento para cada uno de los valores de QSGDISP
QSGDISP	ALTER
COPY	La definición de objeto reside en el conjunto de páginas del gestor de colas que ejecuta el mandato. El objeto se ha definido utilizando un mandato que tenía los parámetros QSGDISP(COPY). Cualquier objeto que resida en el repositorio compartido, o cualquier objeto definido utilizando un mandato que tenga los parámetros QSGDISP(QMGR), no se verá afectado por este mandato.
GROUP	La definición de objeto reside en el repositorio compartido. El objeto se ha definido utilizando un mandato que tenía los parámetros QSGDISP(GROUP). Cualquier objeto que resida en el conjunto de páginas del gestor de colas que ejecuta el mandato (excepto una copia local del objeto) no resulta afectado por este mandato. Si el mandato es satisfactorio, se genera el mandato siguiente y se envía a todos los gestores de colas activos del grupo de compartición de colas para intentar renovar las copias locales en el conjunto de páginas cero: `DEFINE AUTHINFO(name) REPLACE QSGDISP(COPY)` ALTER para el objeto de grupo entra en vigor independientemente de si el mandato generado con QSGDISP(COPY) falla.
PRIVATE	El objeto reside en el conjunto de páginas del gestor de colas que ejecuta el mandato y se ha definido con QSGDISP(QMGR) o QSGDISP(COPY). Cualquier objeto que resida en el repositorio compartido no resultará afectado.
QMGR	La definición de objeto reside en el conjunto de páginas del gestor de colas que ejecuta el mandato. El objeto se ha definido utilizando un mandato que tenía los parámetros QSGDISP(QMGR). Los objetos que residen en el repositorio compartido, o las copias locales de un objeto de ese tipo, no se ven afectados por este mandato.

SECCOMM

Si la conectividad con el servidor LDAP debe realizarse de forma segura utilizando TLS

YES: La conectividad con el servidor LDAP se realiza de forma segura utilizando TLS.; El certificado utilizado es el certificado predeterminado para el gestor de colas, denominado en CERTLABL en el objeto del gestor de colas, o si está en blanco, el que se describe en Etiquetas de certificado digital, que comprende los requisitos.; El certificado se encuentra en el repositorio de claves especificado en SSLKEYR en el objeto del gestor de colas. Se negociará una especificación de cifrado soportada por IBM MQ y el servidor LDAP.; Si el gestor de colas está configurado para utilizar especificaciones de cifrado SSLFIPS(YES) o SUITEB, esto se tiene en cuenta también en la conexión con el servidor LDAP.
ANON: La conectividad con el servidor LDAP se realiza de forma segura utilizando TLS igual que para SECCOMM(YES) con una diferencia.; No se envía ningún certificado al servidor LDAP; la conexión se realizará de forma anónima. Para utilizar este valor, asegúrese de que el repositorio de claves especificado en SSLKEYR, en el objeto del gestor de colas, no contiene un certificado marcado como predeterminado.
NO: La conectividad con el servidor LDAP no utiliza TLS.

El atributo SECCOMM sólo es válido para un AUTHTYPE de IDPWLDAP.

SHORTUSR(nombre_usuario )

Campo del registro de usuario que se utilizará como nombre de usuario abreviado en IBM MQ.

Este campo debe contener valores de 12 caracteres o menos. Este nombre de usuario abreviado se utiliza para los fines siguientes:

Si la autenticación LDAP está habilitada, pero la autorización LDAP no está habilitada, se utiliza como ID de usuario del sistema operativo para las comprobaciones de autorización. En este caso, el atributo debe representar un ID de usuario del sistema operativo.
Si la autenticación y la autorización LDAP están ambas habilitadas, se utiliza como el ID de usuario transportado con el mensaje para que el nombre de usuario LDAP se vuelva a descubrir cuando sea necesario utilizar el ID de usuario dentro del mensaje.
Por ejemplo, en otro gestor de colas, o al escribir mensajes de informe. En este caso, no es necesario que el atributo represente un ID de usuario del sistema operativo, pero debe ser una serie exclusiva. Un número de serie de empleado es un ejemplo de buen atributo para este fin.

El atributo SHORTUSR sólo es válido para un AUTHTYPE de IDPWLDAP y es obligatorio.

USRFIELD(campo de usuario )

Si el ID de usuario proporcionado por una aplicación para la autenticación no contiene un calificador para el campo en el registro de usuario LDAP, es decir, no contiene un ' = " , este atributo identifica el campo en el registro de usuario LDAP que se utiliza para interpretar el ID de usuario proporcionado.

Este campo puede estar en blanco. Si este es el caso, los ID de usuario no calificados utilizan el parámetro SHORTUSR para interpretar el ID de usuario proporcionado.

El contenido de este campo se concatena con un ' = " firmar, junto con el valor proporcionado por la aplicación, para formar el ID de usuario completo que se ubicará en un registro de usuario LDAP. Por ejemplo, la aplicación proporciona un usuario de fred y este campo tiene el valor cny, a continuación, se buscará en el repositorio LDAP cn=fred.

El atributo USRFIELD sólo es válido para un AUTHTYPE de IDPWLDAP.