DEFINE AUTHINFO (definir un objeto de información de autenticación)

Utilice el mandato MQSC DEFINE AUTHINFO para definir un objeto de información de autenticación. Estos objetos contienen las definiciones necesarias para realizar la comprobación de revocación de certificados utilizando OCSP o listas de revocación de certificados (CRL) en servidores LDAP, y las definiciones necesarias para comprobar las credenciales de autenticación proporcionadas por las aplicaciones.

Utilización de mandatos MQSC

Para obtener información sobre cómo utilizar los mandatos MQSC, consulte Administración de IBM® MQ utilizando mandatos MQSC.

[z/OS]Puede emitir este mandato desde orígenes 2CR. Para obtener una explicación de los símbolos de origen, consulte Orígenes desde los que puede emitir mandatos MQSC y PCF en IBM MQ for z/OS®.

Sinónimo: DEF AUTHINFO

Los valores que se muestran encima de la línea principal en el diagrama de sintaxis son los valores predeterminados que se proporcionan con IBM MQ, pero es posible que la instalación los haya cambiado. Para obtener una explicación sobre cómo utilizar estos diagramas, consulte Cómo leer diagramas de sintaxis.

Diagrama de sintaxis para TYPE (CRLLDAP)

DEFINE AUTHINFO

Leer diagrama de sintaxisOmitir diagrama de sintaxis visual DEFINE AUTHINFO ( nombre ) AUTHTYPE(CRLLDAP) CMDSCOPE(' ')CMDSCOPE(nombre-gestcolas)1CMDSCOPE(*)12 QSGDISP(QMGR)QSGDISP(COPY)QSGDISP(GROUP)12 LIKE(nombre-info)NOREPLACEREPLACE CONNAME ( Nombre de conexión ) DESCR(' ')DESCR(serie)LDAPPWD(' ')LDAPPWD(serie)LDAPUSER(' ')LDAPUSER(serie)
Notas:
  • 1 Sólo es válido cuando el gestor de colas es miembro de un grupo de compartición de colas. Puede utilizar grupos de compartición de colas sólo en IBM MQ for z/OS.
  • 2 Sólo es válido en z/OS.

Diagrama de sintaxis para TYPE (OCSP)

DEFINE AUTHINFO

Leer diagrama de sintaxisOmitir diagrama de sintaxis visual DEFINE AUTHINFO ( nombre ) AUTHTYPE(OCSP) CMDSCOPE(' ')CMDSCOPE(nombre-gestcolas)1CMDSCOPE(*)12 QSGDISP(QMGR)QSGDISP(COPY)QSGDISP(GROUP)12 LIKE(nombre-info)NOREPLACEREPLACEDESCR(' ')DESCR(serie) OCSPURL ( URL de respondedor )
Notas:
  • 1 Sólo es válido cuando el gestor de colas es miembro de un grupo de compartición de colas. Puede utilizar grupos de compartición de colas sólo en IBM MQ for z/OS.
  • 2 Sólo es válido en z/OS.

Diagrama de sintaxis para TYPE (IDPWOS)

DEFINE AUTHINFO

Leer diagrama de sintaxisOmitir diagrama de sintaxis visual DEFINE AUTHINFO ( nombre ) AUTHTYPE(IDPWOS) CMDSCOPE(' ')CMDSCOPE(nombre-gestcolas)1CMDSCOPE(*)12 QSGDISP(QMGR)QSGDISP(COPY)QSGDISP(GROUP)12 LIKE(nombre-info)NOREPLACEREPLACEADOPTCTX(NO)ADOPTCTX(YES)AUTHENMD(OS)AUTHENMD(PAM)3DESCR(' ')DESCR(serie)CHCKCLNT(REQDADM)45CHCKCLNT(OPTIONAL)6CHCKCLNT(NONE)CHCKCLNT(OPTIONAL)CHCKCLNT(REQUIRED)CHCKLOCL(OPTIONAL)CHCKLOCL(NONE)CHCKLOCL(REQUIRED)CHCKLOCL(REQDADM)4FAILDLAY(1)FAILDLAY(entero)
Notas:
  • 1 Sólo es válido cuando el gestor de colas es miembro de un grupo de compartición de colas. Puede utilizar grupos de compartición de colas sólo en IBM MQ for z/OS.
  • 2 Sólo es válido en z/OS.
  • 3 No es válido en z/OS y el valor de PAM solo se puede establecer en AIX® and Linux®.
  • 4 No válido en IBM MQ for z/OS.
  • 5 Valor predeterminado para plataformas distintas de z/OS.
  • 6 Valor predeterminado para z/OS.

Diagrama de sintaxis para TYPE (IDPWLDAP)

DEFINE AUTHINFO

Leer diagrama de sintaxisOmitir diagrama de sintaxis visual DEFINE AUTHINFO ( nombre ) AUTHTYPE(IDPWLDAP)1LIKE(nombre-info)NOREPLACEREPLACEADOPTCTX(NO)ADOPTCTX(YES)AUTHORMD(OSSEARCHGRPSEARCHUSRSRCHGRPSN)BASEDNG(serie)BASEDNU(' ')BASEDNU(serie)CLASSGRP(serie)CLASSUSR('inetOrgPerson')CLASSUSR(serie) CONNAME ( serie ) CHCKCLNT(REQDADM)CHCKCLNT(NONE)CHCKCLNT(OPTIONAL)CHCKCLNT(REQUIRED)CHCKLOCL(OPTIONAL)CHCKLOCL(NONE)CHCKLOCL(REQUIRED)CHCKLOCL(REQDADM)DESCR(' ')DESCR(serie)FAILDLAY(1)FAILDLAY(entero)FINDGRP(serie)GRPFIELD(serie)LDAPPWD(' ')LDAPPWD(serie)LDAPUSER(' ')LDAPUSER(serie)NESTGRP(NOYES)SECCOMM(NO)SECCOMM(YES)SECCOMM(ANON) SHORTUSR ( serie ) USRFIELD(' ')USRFIELD(serie)
Notas:
  • 1 No válido en IBM MQ for z/OS.

Notas de uso para DEFINE AUTHINFO

[IBM i]En IBM i, los objetos de información de autenticación de AUTHTYPE (CRLLDAP) y AUTHTYPE (OCSP) sólo se utilizan para canales de tipo CLNTCONN mediante el uso de AMQCLCHL.TAB. Los certificados se definen mediante el Certificate Manager digital para cada entidad emisora de certificados y se verifican en los servidores LDAP.

Atención: Después de ejecutar el mandato DEFINE AUTHINFO, debe reiniciar el gestor de colas. Si no reinicia el gestor de colas, el mandato setmqaut no devuelve el resultado correcto.

Descripciones de parámetros para DEFINE AUTHINFO

name
Nombre del objeto de información de autenticación. Este parámetro es necesario.

El nombre no debe ser el mismo que cualquier otro nombre de objeto de información de autenticación definido actualmente en este gestor de colas (a menos que se especifique REPLACE o ALTER ). Consulte Reglas para la denominación de objetos IBM MQ.

ADOPTCTX
Si hay que usar las credenciales presentadas como el contexto para esta aplicación. Esto significa que se utilizan para comprobaciones de autorización, se muestran en las pantallas administrativas y aparecen en los mensajes.
YES
El ID de usuario en las credenciales de autenticación presentadas en la estructura MQCSP, que se han validado correctamente, se adopta como el contexto a utilizar para esta aplicación. Por lo tanto, este ID de usuario tiene las credenciales comprobadas para la autorización para utilizar recursos de IBM MQ .
Si la aplicación presenta un ID de usuario y una contraseña, el ID de usuario de la estructura MQCSP se adopta si la contraseña se valida correctamente.
[AIX][ MQ 9.3.4 Oct 2023][Linux]Si la aplicación presenta una señal de autenticación y la señal se valida correctamente, el ID de usuario de la reclamación de usuario de señal se adopta como contexto para la aplicación. El nombre de la reclamación de usuario de señal se especifica mediante el atributo UserClaim en la stanza AuthToken del archivo qm.ini . Para obtener más información sobre el atributo UserClaim , consulte UserClaim.
Si el ID de usuario presentado es un ID de usuario LDAP y las comprobaciones de autorización se realizan utilizando los ID de usuario del sistema operativo, el SHORTUSR asociado con la entrada de usuario en LDAP se adoptará como credenciales para las comprobaciones de autorización que se deben realizar.
ADOPTCTX(YES) sólo tiene efecto si CHCKCLNT o CHCKLOCL está establecido en un valor que hace que se validen las credenciales.
NO
La autenticación se realiza en las credenciales presentadas en la estructura MQCSP, pero las credenciales no se adoptan para su uso posterior. La autorización se realiza utilizando el ID de usuario con el que se ejecuta la aplicación.
El atributo ADOPTCTX sólo es válido para un AUTHTYPE de IDPWOS y IDPWLDAP.
AUTHENMD
Método de autenticación. Indica si se debe utilizar el sistema operativo o el Método de autenticación conectable (PAM) para autenticar contraseñas de usuario.
[AIX][Linux]OS
Utilice el método de verificación de contraseña de UNIX tradicional.
[AIX][Linux]PAM
Utilice el PAM para autenticar la contraseña de usuario.

Puede establecer el valor de PAM sólo en AIX and Linux.

Los cambios en este atributo sólo son efectivos después de ejecutar el mandato REFRESH SECURITY TYPE (CONNAUTH) .

Este atributo sólo es válido para un AUTHTYPE de IDPWOS.

AUTHORMD
Método de autorización.
OS
Utilice grupos de sistemas operativos para determinar los permisos asociados con un usuario.

Así es como IBM MQ ha funcionado anteriormente, y es el valor predeterminado.

SEARCHGRP
Una entrada de grupo en el repositorio LDAP contiene un atributo que lista el nombre distinguido de todos los usuarios que pertenecen a ese grupo. La pertenencia se indica mediante el atributo definido en FINDGRP. Este valor suele ser member o uniqueMember.
SEARCHUSR
Una entrada de usuario en el repositorio LDAP contiene un atributo que lista el nombre distinguido de todos los grupos a los que pertenece el usuario especificado. El atributo a consultar se define mediante el valor FINDGRP , normalmente memberOf.
SRCHGRPSN
Una entrada de grupo en el repositorio LDAP contiene un atributo que lista el nombre de usuario abreviado de todos los usuarios que pertenecen a ese grupo. El atributo del registro de usuario que contiene el nombre de usuario abreviado se especifica mediante SHORTUSR.
La pertenencia se indica mediante el atributo definido en FINDGRP. Este valor suele ser memberUid.
Nota: Este método de autorización sólo se debe utilizar si todos los nombres abreviados de usuario son distintos.

Muchos servidores LDAP utilizan un atributo del objeto de grupo para determinar la pertenencia a un grupo y, por lo tanto, debe establecer este valor en SEARCHGRP.

Microsoft Active Directory normalmente almacena las pertenencias a grupos como un atributo de usuario. IBM Tivoli Directory Server da soporte a ambos métodos.

En general, la recuperación de pertenencias a través de un atributo de usuario será más rápida que la búsqueda de grupos que listan el usuario como miembro.

AUTHTYPE
El tipo de información de autenticación.
CRLLDAP
La comprobación de la lista de revocación de certificados se realiza utilizando servidores LDAP.
IDPWLDAP
La comprobación de ID de usuario y contraseña de autenticación de conexión se realiza utilizando un servidor LDAP.
[z/OS]Atención: Esta opción no está disponible en IBM MQ for z/OS
IDPWOS
La comprobación de ID de usuario y contraseña de autenticación de conexión se realiza utilizando el sistema operativo.
[AIX][ MQ 9.3.4 Oct 2023][Linux]Las señales de autenticación proporcionadas por IBM MQ MQI clients se validan si el gestor de colas está configurado para aceptar señales de autenticación utilizando la stanza AuthToken del archivo qm.ini . Para obtener más información sobre la stanza AuthToken , consulte la sección AuthToken del archivo qm.ini.
OCSP
La comprobación de revocación de certificados se realiza utilizando OCSP.
Un objeto de información de autenticación con AUTHTYPE(OCSP) no se aplica para su uso en gestores de colas en las plataformas siguientes:
  • [IBM i]IBM i
  • [z/OS]z/OS
Sin embargo, se puede especificar en esas plataformas para que se copien en la tabla de definición de canal de cliente (CCDT) para su uso por parte del cliente.

Este parámetro es necesario.

No se puede definir un objeto de información de autenticación como LIKE uno con un AUTHTYPE diferente. No puede modificar la dirección AUTHTYPE de un objeto de información de autenticación después de haberlo creado.

BASEDNG
DN base para grupos.
Para poder encontrar nombres de grupo, este parámetro debe establecerse con el DN base para buscar grupos en el servidor LDAP.
BASEDNU(DN base )
Para poder encontrar el atributo de nombre de usuario abreviado (consulte SHORTUSR ) este parámetro debe establecerse con el DN base para buscar usuarios dentro del servidor LDAP.

Este atributo sólo es válido para un AUTHTYPE de IDPWLDAP.

CHCKCLNT
Este atributo determina los requisitos de autenticación para las aplicaciones cliente, y sólo es válido para un AUTHTYPE de IDPWOS o IDPWLDAP. Los valores posibles son:
NONE
Las credenciales de autenticación proporcionadas por las aplicaciones cliente no se comprueban. Si una aplicación cliente proporciona un ID de usuario y una contraseña, o una señal de autenticación, , las credenciales se ignoran. ADOPTCTX no tendrá ningún efecto y los ID de usuario contenidos en MQCSP no se utilizarán para comprobaciones de autorización más adelante.
OPTIONAL
Las aplicaciones cliente no son necesarias para proporcionar credenciales de autenticación.
Las aplicaciones que proporcionan un ID de usuario y una contraseña en la estructura MQCSP los autentican el gestor de colas en el almacén de contraseñas indicado por AUTHTYPE. La conexión sólo puede continuar si el ID de usuario y la contraseña son válidos.
[AIX][ MQ 9.3.4 Oct 2023][Linux]Si una aplicación proporciona una señal de autenticación y el gestor de colas está configurado para aceptar señales de autenticación, la señal se valida. La conexión sólo puede continuar si la señal la emite un emisor de confianza.
Esta opción puede resultar de utilidad durante la migración, por ejemplo.
REQUIRED
Todas las aplicaciones cliente deben proporcionar credenciales de autenticación en la estructura MQCSP .
Si una aplicación proporciona un ID de usuario y una contraseña, el gestor de colas autentica estas credenciales en el almacén de contraseñas indicado por AUTHTYPE. La conexión sólo puede continuar si el ID de usuario y la contraseña son válidos.
[AIX][ MQ 9.3.4 Oct 2023][Linux]Si una aplicación proporciona una señal de autenticación y el gestor de colas está configurado para aceptar señales de autenticación, la señal se valida. La conexión sólo puede continuar si la señal la emite un emisor de confianza.
Si una aplicación no proporciona ninguna credencial de autenticación, la conexión se rechaza.
REQDADM
Todas las aplicaciones cliente que utilizan un ID de usuario privilegiado deben proporcionar credenciales de autenticación en la estructura MQCSP . Cualquier aplicación cliente que utilice un ID de usuario sin privilegios no está obligada a proporcionar credenciales de autenticación y se trata como con la configuración OPTIONAL.
Un usuario privilegiado es aquel que tiene autorizaciones administrativas completas para IBM MQ. Consulte Usuarios privilegiados para obtener más información.
El gestor de colas autentica cualquier ID de usuario y contraseña proporcionados en el almacén de contraseñas indicado por AUTHTYPE. La conexión sólo puede continuar si el ID de usuario y la contraseña son válidos.
[AIX][ MQ 9.3.4 Oct 2023][Linux]Si una aplicación proporciona una señal de autenticación y el gestor de colas está configurado para aceptar señales de autenticación, la señal se valida. La conexión sólo puede continuar si la señal la emite un emisor de confianza.
Nota: El valor REQDADM para el atributo CHCKCLNT es irrelevante si el tipo de autenticación es LDAP. Esto se debe a que no existe ningún concepto de ID de usuario privilegiado cuando se utilizan cuentas de usuario LDAP. A las cuentas y grupos de usuarios LDAP se les debe asignar el permiso de forma explícita.
[z/OS]Este valor no está permitido en sistemas z/OS .
Importante:
  1. Este atributo se puede alterar temporalmente mediante el atributo CHCKCLNT de la regla CHLAUTH que coincide con la conexión de cliente. Por lo tanto, el atributo CONNAUTH AUTHINFO CHCKCLNT del gestor de colas determina el comportamiento predeterminado de comprobación de clientes para las conexiones de clientes que no coinciden con una regla CHLAUTH, o cuando la regla CHLAUTH coincidente tiene CHCKCLNT ASQMGR.
  2. Si selecciona NONE y la conexión del cliente coincide con un registro CHLAUTH con CHCKCLNT REQUIRED (o REQDADM en plataformas distintas de z/OS ), la conexión falla. Recibirá el siguiente mensaje:
  3. Este parámetro sólo es válido con TYPE(USERMAP), TYPE(ADDRESSMAP) y TYPE (SSLPEERMAP), y sólo cuando USERSRC no está configurado como NOACCESS.
  4. Este parámetro sólo se aplica a las conexiones de entrada que son canales de conexión de servidor.
CHCKLOCL
Este atributo determina los requisitos de autenticación para las aplicaciones vinculadas localmente, y sólo es válido para un AUTHTYPE de IDPWOS o IDPWLDAP.
[MQ Appliance]Para obtener información sobre el uso de este atributo en IBM MQ Appliance, consulte Mandatos de control en IBM MQ Appliance en la documentación de IBM MQ Appliance .
Los valores posibles son:
NONE
Las credenciales de autenticación proporcionadas por las aplicaciones cliente no se comprueban. Si una aplicación enlazada localmente proporciona un ID de usuario y una contraseña, las credenciales se ignoran.
OPTIONAL
Las aplicaciones enlazadas localmente no son necesarias para proporcionar credenciales de autenticación.
Las aplicaciones que proporcionan un ID de usuario y una contraseña en la estructura MQCSP los autentican el gestor de colas en el almacén de contraseñas indicado por AUTHTYPE. La conexión sólo puede continuar si el ID de usuario y la contraseña son válidos.
[AIX][ MQ 9.3.4 Oct 2023][Linux]Las señales de autenticación no se pueden proporcionar mediante aplicaciones enlazadas localmente.
Esta opción puede resultar de utilidad durante la migración, por ejemplo.
REQUIRED
Todas las aplicaciones enlazadas localmente deben proporcionar credenciales de autenticación en la estructura MQCSP .
Si una aplicación proporciona un ID de usuario y una contraseña, el gestor de colas autentica estas credenciales en el almacén de contraseñas indicado por AUTHTYPE. Solo se permitirá la conexión si son válidos el ID de usuario y la contraseña.
[AIX][ MQ 9.3.4 Oct 2023][Linux]Las señales de autenticación no se pueden proporcionar mediante aplicaciones enlazadas localmente.
Si una aplicación no proporciona ninguna credencial de autenticación, la conexión se rechaza.
[z/OS]Si el ID de usuario tiene acceso UPDATE al perfil BATCH en la clase MQCONN, puede tratar CHCKLOCL(REQUIRED) como si fuera CHCKLOCL(OPTIONAL). Es decir, no tiene que proporcionar una contraseña, pero si lo hace, la contraseña debe ser la correcta.
Consulte Utilización de CHCKLOCL en aplicaciones enlazadas localmente.
REQDADM
Todas las aplicaciones enlazadas localmente que utilizan un ID de usuario privilegiado deben proporcionar credenciales de autenticación en la estructura MQCSP . Cualquier aplicación vinculada localmente que utilice un ID de usuario sin privilegios no debe proporcionar credenciales de autenticación y se trata como con la configuración OPTIONAL.
Un usuario privilegiado es aquel que tiene autorizaciones administrativas completas para IBM MQ. Consulte Usuarios privilegiados para obtener más información.
El gestor de colas autenticará cualquier ID de usuario y contraseña proporcionados en el almacén de contraseñas indicado por AUTHTYPE. Solo se permitirá la conexión si son válidos el ID de usuario y la contraseña.
[AIX][ MQ 9.3.4 Oct 2023][Linux]Las señales de autenticación no se pueden proporcionar mediante aplicaciones enlazadas localmente.
[z/OS](Este valor no está permitido en sistemas z/OS .)
CLASSGRP
La clase de objeto LDAP utilizada para registros de grupos en el depósito LDAP.
Si el valor está en blanco, se utiliza groupOfNames.
Otros valores utilizados habitualmente son groupOfUniqueNames o group.
CLASSUSR( nombre de la clase LDAP )
La clase de objeto LDAP utilizada para los registros de usuario en el repositorio de LDAP.
Si está en blanco, el valor predeterminado es inetOrgPerson, que suele ser el valor necesario.

Para Microsoft Active Directory, el valor que necesita a menudo es user.

Este atributo sólo es válido para un AUTHTYPE de IDPWLDAP.

[z/OS]CMDSCOPE
Este parámetro sólo se aplica a z/OS y especifica cómo se ejecuta el mandato cuando el gestor de colas es miembro de un grupo de compartición de colas.
CMDSCOPE debe estar en blanco o ser el gestor de colas local, si QSGDISP está establecido como GROUP.
' '
El mandato se ejecuta en el gestor de colas en el que se ha especificado.
nombre-gestcolas
El mandato se ejecuta en el gestor de colas que especifique, siempre que el gestor de colas esté activo dentro del grupo de compartición de colas.

Puede especificar un nombre de gestor de colas distinto del gestor de colas en que se haya entrado el mandato, solamente si está utilizando un entorno de colas compartidas y si el servidor de mandatos está habilitado.

*
El mandato se ejecuta en el gestor de colas local y también se pasa a cada gestor de colas activo del grupo de compartición de colas. El efecto de * es el mismo que el de introducir el comando en cada gestor de colas del grupo de colas compartidas.
CONNAME(nombre de la conexión )
El nombre de host, la dirección decimal con puntos de IPv4 o la notación hexadecimal IPv6 del host en el que se ejecuta el servidor LDAP, con un número de puerto opcional.

Si especifica el nombre de conexión como una dirección IPv6 , sólo los sistemas con una pila IPv6 podrán resolver esta dirección. Si el objeto AUTHINFO forma parte de la lista de nombres de CRL del gestor de colas, asegúrese de que cualquier cliente que utilice la tabla de canales de cliente generada por el gestor de colas pueda resolver el nombre de conexión.

[z/OS]En z/OS, si un CONNAME se va a resolver en una dirección de red IPv6 , es necesario un nivel de z/OS que admita IPv6 para la conexión con un servidor LDAP.

La sintaxis de CONNAME es la misma que para los canales. Por ejemplo,
conname(' hostname (nnn)')
donde nnn es el número de puerto.
La longitud máxima del campo depende de la plataforma:
  • [AIX, Linux, Windows]En AIX, Linux, and Windows, la longitud máxima es de 264 caracteres.
  • [IBM i]En IBM i, la longitud máxima es de 264 caracteres.
  • [z/OS]En z/OS, la longitud máxima es de 48 caracteres.

Este atributo sólo es válido para un AUTHTYPE de CRLLDAP y IDPWLDAP, cuando el atributo es obligatorio.

Cuando se utiliza con AUTHTYPE de IDPWLDAP, puede ser una lista de nombres de conexión separados por comas.

DESCR(cadena )
Comentario en texto sin formato. Proporciona información descriptiva sobre el objeto de información de autenticación cuando un operador emite el mandato DISPLAY AUTHINFO (consulte DISPLAY AUTHINFO (visualizar información de autenticación)).

Debe contener sólo caracteres visualizables. La longitud máxima es de 64 caracteres. En una instalación DBCS, contiene caracteres DBCS (sujetos a una longitud máxima de 64 bytes).

Nota: Si se utilizan caracteres que no están en el identificador de juego de caracteres codificados (CCSID) para este gestor de colas, es posible que se conviertan incorrectamente si la información se envía a otro gestor de colas.
FAILDLAY(tiempo de retardo )
Cuando se proporcionan credenciales de autenticación para la autenticación de conexión y la autenticación falla debido a que las credenciales son incorrectas, este es el retardo, en segundos, antes de que se devuelva la anomalía a la aplicación.

Esto puede ayudar a evitar bucles ocupados de una aplicación que simplemente reintenta, continuamente, después de recibir una anomalía.

El valor debe estar en el rango de 0 a 60 segundos. El valor predeterminado es 1.

Este atributo sólo es válido para un AUTHTYPE de IDPWOS y IDPWLDAP.

FINDGRP
Nombre del atributo utilizado en una entrada LDAP para determinar la pertenencia a grupos.

Cuando AUTHORMD = SEARCHGRP, el atributo FINDGRP suele fijarse en member o uniqueMember.

Cuando AUTHORMD = SEARCHUSR, el atributo FINDGRP suele fijarse en memberOf.

Cuando AUTHORMD = SRCHGRPSN, el atributo FINDGRP suele fijarse en memberUid.

Cuando el atributo FINDGRP se deja en blanco:
  • Si AUTHORMD = SEARCHGRP, el atributo FINDGRP pasa por defecto a memberOf.
  • Si AUTHORMD = SEARCHUSR, el atributo FINDGRP pasa por defecto a member.
  • Si AUTHORMD = SRCHGRPSN, el atributo FINDGRP pasa por defecto a memberUid.
GRPFIELD
Atributo LDAP que representa un nombre simple para el grupo.
Si el valor está en blanco, los mandatos como setmqaut deben utilizar un nombre calificado para el grupo. El valor puede ser un DN completo o un único atributo.
LDAPPWD(contraseña LDAP )
La contraseña asociada con el nombre distinguido del usuario que está accediendo al servidor LDAP. Su tamaño máximo es de 32 caracteres.

Este atributo sólo es válido para un AUTHTYPE de CRLLDAP y IDPWLDAP.

[z/OS]En z/OS, es posible que el LDAPPWD utilizado para acceder al servidor LDAP no sea el definido en el objeto AUTHINFO . Si se coloca más de un objeto AUTHINFO en la lista de nombres a la que hace referencia el parámetro QMGR SSLCRLNL, se utiliza LDAPPWD en el primer objeto AUTHINFO para acceder a todos los servidores LDAP.

LDAPUSER(usuario LDAP )
Nombre distinguido del usuario que está accediendo al servidor LDAP. (Consulte el parámetro SSLPEER para obtener más información sobre nombres distinguidos.)

Este atributo sólo es válido para un AUTHTYPE de CRLLDAP y IDPWLDAP.

El tamaño máximo para el nombre de usuario es el siguiente:

[z/OS]En z/OS, es posible que el LDAPUSER utilizado para acceder al servidor LDAP no sea el definido en el objeto AUTHINFO . Si se coloca más de un objeto AUTHINFO en la lista de nombres a la que hace referencia el parámetro QMGR SSLCRLNL, se utiliza LDAPUSER en el primer objeto AUTHINFO para acceder a todos los servidores LDAP.

[UNIX, Linux, Windows, IBM i]En multiplataformas, la longitud máxima de línea aceptada es BUFSIZ, que puede consultarse en stdio.h.

LIKE(authinfo-name )
El nombre de un objeto de información de autenticación, con parámetros que se utilizan para modelar esta definición.
[z/OS]En z/OS, el gestor de colas busca un objeto con el nombre especificado y una disposición de QMGR o COPY. La disposición del objeto LIKE no se copia en el objeto que está definiendo.
Nota:
  1. No se buscan los objetos de QSGDISP (GROUP) .
  2. LIKE se ignora si se especifica QSGDISP(COPY). Sin embargo, el objeto de grupo definido se utiliza como objeto LIKE.
NESTGRP
Anidamiento de grupo.
NO
Sólo los grupos descubiertos inicialmente se tienen en cuenta para la autorización.
YES
La lista de grupos se busca de forma recursiva para enumerar todos los grupos a los que pertenece un usuario.

El nombre distinguido del grupo se utiliza al buscar la lista de grupos de forma recursiva, independientemente del método de autorización seleccionado en AUTHORMD.

OCSPURL( URL respuesta )
El URL del programa de respuesta OCSP utilizado para comprobar la revocación de certificados. Este valor debe ser un URL de HTTP que contenga el nombre de host y el número de puerto del respondedor OCSP. Si el programa de respuesta OCSP está utilizando el puerto 80, que es el valor predeterminado para HTTP, entonces el número de puerto se puede omitir. Los URL de HTTP se definen en la RFC 1738.
Este campo distingue entre mayúsculas y minúsculas. Debe empezar con la serie http:// en minúsculas. El resto de la URL puede distinguir entre mayúsculas y minúsculas, dependiendo de la implementación del servidor OCSP. Para conservar las mayúsculas y minúsculas, utilice comillas simples para especificar el valor del parámetro OCSPURL, por ejemplo:
 OCSPURL ('http://ocsp.example.ibm.com')

Este parámetro sólo es aplicable para AUTHTYPE(OCSP), cuando es obligatorio.

[z/OS]QSGDISP
Este parámetro se aplica únicamente a z/OS.

Especifica la disposición del objeto al que está aplicando el mandato (es decir, dónde está definido y cómo se comporta).

Tabla 1. Comportamiento para cada uno de los valores de QSGDISP
QSGDISP DEFINE
COPY

El objeto se define en el conjunto de páginas del gestor de colas que ejecuta el mandato. Utiliza el objeto QSGDISP(GROUP) del mismo nombre que el objeto LIKE.

Por ejemplo, si emite el mandato siguiente,
DEFINE AUTHINFO(auth_name)
REPLACE QSGDISP(COPY)
el gestor de colas busca en el repositorio de configuración compartida una definición de AUTHINFO denominada auth_name. Si se encuentra una definición de AUTHINFO coincidente, el gestor de colas crea una copia local de esta definición en el conjunto de páginas del gestor de colas.

Para las colas locales, los mensajes se almacenan en los conjuntos de páginas de cada gestor de colas y sólo están disponibles a través de dicho gestor de colas.
GROUP

La definición de objeto reside en el repositorio de configuración compartido. QSGDISP(GROUP) solo está permitido si el gestor de colas está en un grupo de compartición de colas.

Si el DEFINE para el objeto QSGDISP(GROUP) tiene éxito, se genera el comando DEFINE AUTHINFO(auth_name) REPLACE QSGDISP(COPY) y se envía a todos los gestores de colas activos en el grupo de compartición de colas para hacer o actualizar copias locales en el conjunto de páginas cero.

El DEFINE para el objeto de grupo entra en vigor independientemente de si el mandato generado con QSGDISP(COPY) falla.
PRIVATE No permitido.
QMGR

El objeto se define en el conjunto de páginas del gestor de colas que ejecuta el mandato.
REPLACE y NOREPLACE
Si la definición existente (y en z/OS, con la misma disposición) se va a sustituir por esta. Este parámetro es opcional. Cualquier objeto con una disposición diferente no se cambia.
REPLACE
La definición debe sustituir cualquier definición existente con el mismo nombre. Si no existe ninguna definición, se creará una.
NOREPLACE
La definición no debe sustituir a ninguna definición existente con el mismo nombre.
SECCOMM
Si la conectividad con el servidor LDAP debe realizarse de forma segura utilizando TLS
YES
La conectividad con el servidor LDAP se realiza de forma segura utilizando TLS.

El certificado utilizado es el certificado predeterminado para el gestor de colas, denominado en CERTLABL en el objeto del gestor de colas, o si está en blanco, el que se describe en Etiquetas de certificado digital, entendiendo los requisitos.

El certificado se encuentra en el repositorio de claves especificado en SSLKEYR en el objeto del gestor de colas. Se negociará una especificación de cifrado soportada por IBM MQ y el servidor LDAP.

Si el gestor de colas está configurado para utilizar especificaciones de cifrado SSLFIPS(YES) o SUITEB , esto también se tiene en cuenta en la conexión con el servidor LDAP.

ANON
La conectividad con el servidor LDAP se realiza de forma segura utilizando TLS igual que para SECCOMM(YES) con una diferencia.

No se envía ningún certificado al servidor LDAP; la conexión se realizará de forma anónima. Para utilizar este valor, asegúrese de que el repositorio de claves especificado en SSLKEYR, en el objeto del gestor de colas, no contiene un certificado marcado como predeterminado.

NO
La conectividad con el servidor LDAP no utiliza TLS.
Este atributo sólo es válido para un AUTHTYPE de IDPWLDAP.
SHORTUSR(nombre de usuario )
Campo del registro de usuario que se utilizará como nombre de usuario abreviado en IBM MQ.
Este campo debe contener valores de 12 caracteres o menos. Este nombre de usuario abreviado se utiliza para los fines siguientes:
  • Si la autenticación LDAP está habilitada, pero la autorización LDAP no está habilitada, se utiliza como ID de usuario del sistema operativo para las comprobaciones de autorización. En este caso, el atributo debe representar un ID de usuario del sistema operativo.
  • Si la autenticación y la autorización LDAP están ambas habilitadas, se utiliza como el ID de usuario transportado con el mensaje para que el nombre de usuario LDAP se vuelva a descubrir cuando sea necesario utilizar el ID de usuario dentro del mensaje.

    Por ejemplo, en otro gestor de colas, o al escribir mensajes de informe. En este caso, no es necesario que el atributo represente un ID de usuario del sistema operativo, pero debe ser una serie exclusiva. Un número de serie de empleado es un ejemplo de buen atributo para este fin.

El atributo SHORTUSR sólo es válido para un AUTHTYPE de IDPWLDAP y es obligatorio.
USRFIELD( nombre del campo LDAP )
Si el ID de usuario proporcionado por una aplicación para la autenticación no contiene un calificador para el campo en el registro de usuario LDAP, es decir, no contiene un signo igual (=), este atributo identifica el campo en el registro de usuario LDAP que se utiliza para interpretar el ID de usuario proporcionado.

Este campo puede estar en blanco. Si este es el caso, los ID de usuario no calificados utilizan el parámetro SHORTUSR para interpretar el ID de usuario proporcionado.

El contenido de este campo se concatenará con un ' = " firmar, junto con el valor proporcionado por la aplicación, para formar el ID de usuario completo que se ubicará en un registro de usuario LDAP. Por ejemplo, la aplicación proporciona un usuario de fred y este campo tiene el valor cny, a continuación, se buscará en el repositorio LDAP cn=fred.

Este atributo sólo es válido para un AUTHTYPE de IDPWLDAP.