Implementación de control de accesos en salidas de seguridad
Puede implementar control de accesos en una salida de seguridad utilizando el campo MCAUserIdentifier o el gestor de autorizaciones sobre objetos.
MCAUserIdentifier
Cada instancia de un canal actual tiene una estructura de definición de canal, MQCD, asociada. Los valores iniciales de los campos en MQCD los determina la definición de canal creada por un administrador de IBM® MQ . En particular, el valor inicial de uno de los campos, MCAUserIdentifier , se determina mediante el valor del parámetro MCAUSER del mandato DEFINE CHANNEL o mediante el equivalente a MCAUSER si la definición de canal se crea de otra forma.
La estructura MQCD se pasa a un programa de salida de canal al que llama un MCA. Cuando un MCA llama a una salida de seguridad, la salida de seguridad puede cambiar el valor de MCAUserIdentifier, sustituyendo el valor especificado en la definición de canal.
![[UNIX, Linux, Windows, IBM i]](ngmulti.gif)
En Multiplataformas, a menos que el valor de MCAUserIdentifier esté en blanco, el gestor de colas utiliza el valor de MCAUserIdentifier como ID de usuario para las comprobaciones de autoridad cuando un MCA intenta acceder a los recursos del gestor de colas después de haberse conectado al gestor de colas. Si el valor de
MCAUserIdentifier está en blanco, el gestor de colas utiliza en su
lugar el ID de usuario predeterminado del MCA. Esto es aplicable a los canales RCVR,
RQSTR, CLUSRCVR y SVRCONN. Para los MCA emisores, el ID de usuario predeterminado se
utiliza siempre para las comprobaciones de autorización, incluso si el valor de
MCAUserIdentifier no está en blanco.
![[z/OS]](ngzos.gif)
En z/OS®, el gestor de colas puede utilizar el valor de MCAUserIdentifier para las comprobaciones de autoridad, siempre que no esté en blanco. Para los MCA receptores y los MCA
de conexión con servidor, el hecho de que el gestor de colas utilice el
valor de
MCAUserIdentifier para comprobaciones de autoridad depende de:- El valor del parámetro PUTAUT en la definición de canal
- El perfil de RACF® utilizado para las comprobaciones
- El nivel de acceso del ID de usuario del espacio de direcciones del iniciador de canal ante el perfil RESLEVEL
- Si el MCA emisor efectúa la llamada o envía la respuesta
- El nivel de acceso del ID de usuario del espacio de direcciones del iniciador de canal ante el perfil RESLEVEL
- Siempre que no haya ninguna salida de seguridad en el extremo del cliente de un canal MQI, un ID de usuario asociado con la aplicación cliente IBM MQ fluye desde el MCA de conexión de cliente al MCA de conexión de servidor cuando la aplicación cliente emite una llamada MQCONN. El
MCA de conexión del servidor almacena su ID de usuario en el campo RemoteUserIdentifier de la estructura de definición de canal, MQCD. Si el valor de MCAUserIdentifier está en blanco en este momento, el MCA
almacena el mismo ID de usuario en MCAUserIdentifier. Si el MCA no almacena el ID de usuario en MCAUserIdentifier, una salida de seguridad puede
hacerlo posteriormente, estableciendo MCAUserIdentifier
en el valor de RemoteUserIdentifier.
Si el ID de usuario que fluye del sistema cliente está entrando en un nuevo dominio de seguridad y no es válido en el sistema servidor, la salida de seguridad puede sustituir el ID de usuario por uno que sea válido y almacenar el ID de usuario sustituido en MCAUserIdentifier.
- La salida de seguridad del asociado puede enviar el ID de usuario
en un mensaje de seguridad.
En un canal de mensaje, una salida de seguridad a la que ha llamado el MCA emisor puede enviar el ID de usuario bajo el cual se ejecuta el MCA emisor. Luego, una salida de seguridad a la que ha llamado el MCA receptor puede almacenar el ID de usuario en MCAUserIdentifier . De forma similar, en un canal MQI, una salida de seguridad en el extremo del cliente del canal puede enviar el ID de usuario asociado con la aplicación IBM MQ MQI client . Luego una salida de seguridad en el extremo del servidor del canal puede almacenar el ID de usuario en MCAUserIdentifier. Como en el ejemplo anterior, si el ID de usuario no es válido en el sistema de destino, la salida de seguridad puede sustituir el ID de usuario por uno que sea válido y almacenar el ID de usuario sustituido en MCAUserIdentifier.
Si se recibe un certificado digital como parte del servicio de identificación y autenticación, una salida de seguridad puede correlacionar el Nombre distinguido del certificado con un ID de usuario que sea válido en el sistema de destino. Puede almacenar el ID de usuario en MCAUserIdentifier.
- Si TLS se utiliza en el canal, el nombre distinguido del asociado (DN) se pasa a la salida del campo SSLPeerNamePtr de MQCD y el DN de emisor del certificado se pasa a la salida del campo SSLRemCertIssNamePtr de MQCXP.
Para obtener más información sobre el campo MCAUserIdentifier , la estructura de definición de canal, MQCD y la estructura de parámetros de salida de canal, MQCXP, consulte Llamadas de salida de canal y estructuras de datos. Para obtener más información sobre el ID de usuario que fluye desde un sistema cliente en un canal MQI, consulte Control de acceso.
Autenticación de usuario del gestor de autorizaciones sobre objetos de IBM MQ
En conexiones IBM MQ MQI client , las salidas de seguridad se pueden utilizar para modificar o crear la estructura MQCSP utilizada en la autenticación de usuario del gestor de autorizaciones sobre objetos (OAM). Esto se describe en Programas de salida de canal para canales de mensajería