REFRESH SECURITY (renovar valores de seguridad)

Utilice el mandato MQSC REFRESH SECURITY para realizar una renovación de seguridad.

Utilización de mandatos MQSC

Para obtener información sobre cómo utilizar los mandatos MQSC, consulte Administración de IBM® MQ utilizando mandatos MQSC.

Sinónimo: REF SEC

[z/OS]REBUILD SECURITY es otro sinónimo de REFRESH SECURITY en z/OS®.

REFRESH SECURITY

Leer diagrama de sintaxisOmitir diagrama de sintaxis visual REFRESH SECURITY (*)(MQADMIN1MQNLIST1MQPROC1MQQUEUE1MXADMIN1MXNLIST1MXPROC1MXQUEUE1MXTOPIC1)TYPE(CLASSES)1TYPE(AUTHSERV)2TYPE(SSL)TYPE(CONNAUTH)CMDSCOPE(' ')CMDSCOPE(nombre-gestcolas)3CMDSCOPE(*)31
Notas:
  • 1 Sólo es válido en z/OS.
  • 2 No válido en z/OS.
  • 3 Sólo es válido en z/OS cuando el gestor de colas es miembro de un grupo de compartición de colas.
[z/OS]

Utilización de REFRESH SECURITY en z/OS

REFRESH SECURITY se puede utilizar en z/OS. En función de los parámetros utilizados en el mandato, se puede emitir desde varios orígenes. Para obtener una explicación de los símbolos de esta tabla, consulte Orígenes desde los que puede emitir mandatos MQSC y PCF en IBM MQ for z/OS.

Tabla 1. Mandatos REFRESH SECURITY y orígenes de mandatos
Mandato Orígenes de mandatos Notas
RENOVAR TIPO DE SEGURIDAD (CLASES) CR  
REFRESH SECURITY TYPE(SSL) CR No se permite desde CSQINPT o CSQINP2. El iniciador de canal debe estar en ejecución.

Notas de uso para REFRESH SECURITY

Cuando emite el mandato MQSC REFRESH SECURITY TYPE (SSL), todos los canales TLS en ejecución se detienen y se reinician. A veces, los canales TLS pueden tardar mucho tiempo en concluir y esto significa que la operación de renovación tarda algún tiempo en completarse. Hay un límite de tiempo de 10 minutos para que una renovación TLS complete[z/OS] (o 1 minuto en z/OS ), por lo que potencialmente puede tardar 10 minutos en finalizar el mandato. Esto puede dar el aspecto de que la operación de renovación se ha "congelado". La operación de renovación fallará con un mensaje de error MQSC de AMQ9710 o un error PCF MQRCCF_COMMAND_FAILED si se excede el tiempo de espera antes de que se hayan detenido todos los canales. Es probable que esto suceda si se cumplen las condiciones siguientes:
  • El gestor de colas tiene muchos canales TLS ejecutándose simultáneamente cuando se invoca el mandato de renovación
  • Los canales manejan un gran número de mensajes
Si una renovación falla en estas condiciones, vuelva a intentar el mandato más tarde cuando el gestor de colas esté menos ocupado. En el caso de que se estén ejecutando muchos canales, puede optar por detener algunos de los canales manualmente antes de invocar el mandato REFRESH.
Cuando se utiliza TYPE (SSL):
  1. [z/OS]En z/OS, el servidor de mandatos y el iniciador de canal deben estar en ejecución.
  2. [z/OS]En z/OS, IBM MQ determina si es necesaria una renovación debido a una o más de las razones siguientes:
    • El contenido del repositorio de claves ha cambiado
    • La ubicación del servidor LDAP que se va a utilizar para las listas de revocación de certificados ha cambiado
    • La ubicación del repositorio de claves ha cambiado
    Si no es necesaria ninguna renovación, el mandato se completa correctamente y los canales no se ven afectados.
  3. [UNIX, Linux, Windows, IBM i]En Multiplatforms, el mandato actualiza todos los canales TLS independientemente de si es necesaria una renovación de seguridad.
  4. Si se va a realizar una renovación, el mandato actualiza todos los canales TLS que se están ejecutando actualmente, tal como se indica a continuación:
    • Los canales emisor, servidor y clúster emisor que utilizan TLS pueden completar el lote actual. En general, a continuación, vuelven a ejecutar el reconocimiento TLS con la vista renovada del repositorio de claves TLS. Sin embargo, debe reiniciar manualmente un canal peticionario-servidor en el que la definición de servidor no tenga ningún parámetro CONNAME.
    • Los canales AMQP que utilizan TLS se reinician, y los clientes conectados actualmente se desconectan de forma forzada. El cliente recibe un mensaje de error AMQP de amqp:connection:forced .
    • Todos los demás tipos de canal que utilizan TLS se detienen con un mandato STOP CHANNEL MODE (FORCE) STATUS (INACTIVE). Si el extremo asociado del canal de mensajes detenido tiene valores de reintento definidos, el canal reintenta y el nuevo reconocimiento TLS utiliza la vista renovada del contenido del repositorio de claves TLS, la ubicación del servidor LDAP que se utilizará para las listas de revocación de certificados y la ubicación del repositorio de claves. En el caso de un canal de conexión con el servidor, la aplicación cliente pierde su conexión con el gestor de colas y tiene que volver a conectarse para poder continuar.
[z/OS]Cuando se utiliza TYPE (CLASSES):
  • Las clases MQADMIN, MQNLIST, MQPROC y MQQUEUE sólo pueden contener perfiles definidos en mayúsculas.
  • Las clases MXADMIN, MXNLIST, MXPROC y MQXUEUE pueden contener perfiles definidos en mayúsculas y minúsculas.
  • La clase MXTOPIC se puede renovar si se utilizan clases en mayúsculas o en mayúsculas y minúsculas. Aunque es una clase de mayúsculas y minúsculas, es la única clase de mayúsculas y minúsculas que puede estar activa con cualquiera de los grupos de clases.
  • Las clases MQCMD y MQCONN no se pueden especificar y REFRESH SECURITY CLASS (*) no las incluye.

    La información de seguridad de las clases MQCMD y MQCONN no se almacena en la memoria caché del gestor de colas. Consulte Renovación de la seguridad del gestor de colas en z/OS para obtener más información.

Notas:
  1. La realización de una operación REFRESH SECURITY(*) TYPE(CLASSES) es la única forma de cambiar las clases que utiliza el sistema de soporte de sólo mayúsculas a soporte de mayúsculas y minúsculas.

    Para ello, compruebe el atributo de gestor de colas SCYCASE para ver si está establecido en UPPER o MIXED

  2. Es su responsabilidad asegurarse de que ha copiado, o definido, todos los perfiles que necesita en las clases adecuadas antes de llevar a cabo una operación de REFRESH SECURITY(*) TYPE(CLASSES) .
  3. Sólo se permite una renovación de una clase individual si las clases que se están utilizando actualmente son del mismo tipo. Por ejemplo, si MQPROC está en uso, puede emitir una renovación para MQPROC pero no para MXPROC.

Descripciones de parámetros para REFRESH SECURITY

El calificador de mandato le permite indicar un comportamiento más preciso para un valor TYPE específico. Seleccione una de estas opciones:
*
Se realiza una renovación completa del tipo especificado.[z/OS] Es el valor predeterminado en los sistemas z/OS .
[z/OS]MQADMIN
Sólo es válido si TYPE es CLASSES. Especifica que se van a renovar los recursos de tipo Administración. Sólo es válido en z/OS.
Nota: Si, al renovar esta clase, se determina que se ha cambiado un conmutador de seguridad relacionado con una de las otras clases, también tiene lugar una renovación para esa clase.
[z/OS]MQNLIST
Sólo es válido si TYPE es CLASSES. Especifica que los recursos de lista de nombres se van a renovar. Sólo es válido en z/OS.
[z/OS]MQPROC
Sólo es válido si TYPE es CLASSES. Especifica que se van a renovar los recursos de proceso. Sólo es válido en z/OS.
[z/OS]MQQUEUE
Sólo es válido si TYPE es CLASSES. Especifica que se van a renovar los recursos de cola. Sólo es válido en z/OS.
[z/OS]MXADMIN
Sólo es válido si TYPE es CLASSES. Especifica que se van a renovar los recursos de tipo de administración. Sólo es válido en z/OS.
Nota: Si, al renovar esta clase, se determina que se ha cambiado un conmutador de seguridad relacionado con una de las otras clases, también tiene lugar una renovación para esa clase.
[z/OS]MXNLIST
Sólo es válido si TYPE es CLASSES. Especifica que los recursos de lista de nombres se van a renovar. Sólo es válido en z/OS.
[z/OS]MXPROC
Sólo es válido si TYPE es CLASSES. Especifica que se van a renovar los recursos de proceso. Sólo es válido en z/OS.
[z/OS]MXQUEUE
Sólo es válido si TYPE es CLASSES. Especifica que se van a renovar los recursos de cola. Sólo es válido en z/OS.
[z/OS]MXTOPIC
Sólo es válido si TYPE es CLASSES. Especifica que los recursos de tema se van a renovar. Sólo es válido en z/OS.
[z/OS]CMDSCOPE
Este parámetro sólo se aplica a z/OS y especifica cómo se ejecuta el mandato cuando el gestor de colas es miembro de un grupo de compartición de colas.
' '
El mandato se ejecuta en el gestor de colas en el que se ha especificado. Este es el valor predeterminado[z/OS] para sistemas noz/OS.
nombre-gestcolas
El mandato se ejecuta en el gestor de colas que especifique, siempre que el gestor de colas esté activo dentro del grupo de compartición de colas.

Puede especificar un nombre de gestor de colas, que no sea el gestor de colas en el que se ha especificado el mandato, sólo si está utilizando un entorno de grupo de compartición de colas y si el servidor de mandatos está habilitado.

*
El mandato se ejecuta en el gestor de colas local y también se pasa a cada gestor de colas activo del grupo de compartición de colas. El efecto de esto es el mismo que entrar el mandato en cada gestor de colas del grupo de compartición de colas.
TIPO
Especifica el tipo de renovación que se va a realizar.
[UNIX, Linux, Windows, IBM i]AuthServ
La lista de autorizaciones mantenida internamente por el componente de servicios de autorizaciones se renueva.

Éste es el valor predeterminado.

[z/OS]Clases

IBM MQ ESM en almacenamiento (gestor de seguridad externo, por ejemplo RACF® ) se renuevan los perfiles. Se suprimen los perfiles en almacenamiento para los recursos que se están solicitando. Las nuevas entradas se crean cuando se realizan comprobaciones de seguridad para ellas, y se validan cuando el siguiente usuario solicita acceso.

Puede seleccionar clases de recursos específicas para las que realizar la renovación de seguridad.

Esto sólo es válido en z/OS donde es el valor predeterminado.

CONNAUTH

Actualiza la vista de la memoria caché de la configuración de autenticación de conexión.

La configuración de autenticación de conexión consta de los recursos siguientes:
  • El objeto AUTHINFO al que hace referencia el atributo CONNAUTH del gestor de colas.
  • [AIX][ MQ 9.3.4 Oct 2023][Linux]Configuración de la señal de autenticación en la stanza AuthToken del archivo qm.ini .
  • [AIX][ MQ 9.3.4 Oct 2023][Linux]El almacén de claves que contiene certificados y claves simétricas que se utilizan para validar las señales de autenticación. El atributo KeyStore de la stanza AuthToken hace referencia a este almacén de claves.

Debe renovar la configuración antes de que el gestor de colas reconozca los cambios en estos recursos.

[UNIX, Linux, Windows, IBM i]En Multiplatforms, es un sinónimo de AUTHSERV.

Consulte Autenticación de conexión para obtener más información.
SSL
Renueva la vista en memoria caché del repositorio de claves de capa de sockets seguros o seguridad de capa de transporte y permite que las actualizaciones surtan efecto cuando se completa correctamente el mandato. También se renuevan las ubicaciones de:
  • los servidores LDAP que se utilizarán para las listas de revocación certificadas
  • el repositorio de claves
así como cualquier parámetro de hardware criptográfico especificado a través de IBM MQ.

Todos los cambios realizados en las reglas de CHLAUTH están disponibles inmediatamente, por lo que no es necesario actualizarlas.