Establecimiento de permisos basados en cola

Puede utilizar las colas de IBM® MQ para autorizar a los usuarios a realizar tareas específicas en un nodo de integración y sus recursos.

Antes de empezar

Acerca de esta tarea

Cuando haya habilitado la seguridad de administración y especificado la modalidad de autorización basada en cola (MQ), podrá establecer los permisos necesarios para que los usuarios puedan actuar en el nodo de integración y sus recursos. Los permisos se establecen en las siguientes colas de autorización:
  • SYSTEM.BROKER.AUTH
  • SYSTEM.BROKER.AUTH.EG (donde EG es el nombre del servidor de integración)
  • SYSTEM.BROKER.DC.AUTH

La cola SYSTEM.BROKER.AUTH se crea cuando se utiliza el mandato mqsichangeauthmode para habilitar la seguridad de administración basada en cola (modalidadmq ) en el nodo de integración. Cuando crea un servidor de integración en un nodo de integración para el que ha habilitado la seguridad de administración basada en cola, la cola de autorización del servidor de integración SYSTEM.BROKER.AUTH.EG (si todavía no existe), donde EG es el nombre del servidor de integración.

SYSTEM.BROKER.DC.AUTH se crea cuando se utiliza el mandato mqsicreatebroker para crear un nodo de integración con un gestor de colas asociado. Para obtener más información sobre estas colas de autorización, consulte Colas de autorización para la seguridad de administración basada en colas.

Puede establecer permisos a principales individuales (ID de usuario), a grupos de usuarios, o a ambos, en todas las plataformas:

  • Si otorga a un grupo o a un ID de usuario permisos a nivel de nodo de integración (en la cola SYSTEM.BROKER.AUTH), no hereda permisos para servidores de integración. Se deben establecer explícitamente permisos para servidores de integración individuales o para todos los servidores de integración.
  • En Linux® y UNIX, puede autorizar tanto principales como grupos. Sin embargo, al autorizar a un principal, IBM App Connect Enterprise autoriza además al grupo principal de dicho principal. Si hay muchos usuarios que pertenecen a dicho grupo primario, se autorizan simultáneamente. Considere la posibilidad de utilizar grupos en lugar de grupos primarios para la autorización, porque las variantes de UNIX utilizan grupos primarios de diferentes maneras.
  • Si un ID de usuario es miembro del grupo de seguridad mqm de IBM MQ, dispone automáticamente de permisos para realizar acciones en todos los objetos de IBM MQ.
  • En Windows, si una cuenta de usuario pertenece al grupo de seguridad «Administradores », dispone automáticamente de permisos para realizar acciones en todos los objetos de « IBM MQ ».

Cuando cambie permisos en una cola, el nodo de integración accederá a los valores actualizados la próxima vez que se procese una solicitud. No es necesario detener y reiniciar el nodo de integración.

Si actualiza los ID de usuario o la pertenencia a grupos utilizando los recursos del sistema operativo de la plataforma en la que se ejecute el gestor de colas del nodo de integración, debe asegurarse de que éste sea consciente de estos cambios. Seleccione la opción «Actualizar el servicio de autorización» en el Explorador de IBM MQ s para notificar al gestor de colas el estado actualizado.

Procedimiento

  1. Asegúrese de que la seguridad de administración esté habilitada para el nodo de integración y que se haya establecido la modalidad de autorización basada en cola.
    Para obtener información sobre cómo habilitar la seguridad de administración y establecer la modalidad de autorización, consulte Habilitación de la seguridad de administración. Para obtener más información sobre cómo cambiar el modo de autorización, consulte «Configuración de la seguridad de la administración para utilizar la autorización basada en archivos, en colas o en LDAP ».
  2. Siga los pasos de una de las tareas siguientes, en función de su plataforma: