Autenticación de conexión: Depósitos de usuario

Para cada uno de los gestores de colas, puede seleccionar diferentes tipos de objetos de información de autenticación para autenticar los ID de usuario y las contraseñas.

Una representación diagramática de ... — Figura 1. Tipos de objetos de información de autenticación

DEFINE AUTHINFO(USE.OS) AUTHTYPE(IDPWOS)
DEFINE AUTHINFO(USE.LDAP) +
AUTHTYPE(IDPWLDAP) +
CONNAME('ldap1(389),ldap2(389)') +
LDAPUSER('CN=QMGR1') +
LDAPPWD('passw0rd') SECCOMM(YES)

Existen dos tipos de objetos de información de autenticación, según se representa en el diagrama:

IDPWOS se utiliza para indicar que el gestor de colas utiliza el sistema operativo local para autenticar el ID de usuario y la contraseña. Si opta por utilizar el sistema operativo local, necesita establecer los atributos comunes, tal como se describe en los temas anteriores.
IDPWLDAP se utiliza para indicar que el gestor de colas utiliza un servidor LDAP para autenticar el ID de usuario y la contraseña. Si opta por utilizar un servidor LDAP, se proporciona más información en este tema.

Solo se puede seleccionar un objeto de información de autenticación para que lo utilice cada gestor de colas, especificando el nombre del objeto correspondiente en el atributo CONNAUTH del gestor de colas.

Utilización de un servidor LDAP para la autenticación.

Establezca el campo CONNAME en la dirección del servidor LDAP del gestor de colas. Puede proporcionar direcciones adicionales para el servidor LDAP en la lista separada por comas, lo que puede ayudarle si existen redundancias cuando el servidor LDAP no proporciona por su cuenta este recurso.

Establezca el ID de servidor y la contraseña LDAP en los campos LDAPUSER y LDAPPWD, de modo que el gestor de colas pueda acceder al servidor LDAP y buscar información acerca de los registros de usuario.

Conexión segura con un servidor LDAP

A diferencia de los canales, no existe ningún parámetro SSLCIPH que active el uso de TLS para la comunicación con el servidor LDAP. En este caso, IBM® MQ actúa como cliente del servidor LDAP, por lo que gran parte de la configuración se realiza en el servidor LDAP. Algunos parámetros existentes en ' IBM MQ ' se utilizan para configurar el funcionamiento de esa conexión.

Establezca el campo SECCOMM para controlar si la conectividad con el servidor LDAP utiliza TLS.

Además de este atributo, los atributos del gestor de colas SSLFIPS y SUITEB restringen el conjunto de especificaciones de cifrado que se seleccionan. El certificado que se utiliza para identificar el gestor de colas en el servidor LDAP es el certificado del gestor de colas, ya sea ibmwebspheremq qmgr-name o el valor del atributo CERTLABL . Consulte Etiquetas de certificado digital para obtener más detalles.

Depósito de usuario LDAP

Si se utiliza un depósito de usuario LDAP, es necesario realizar más pasos de configuración en el gestor de colas que simplemente indicar el gestor de colas donde se encuentra el servidor AP.

Los ID de usuario definidos en un servidor LDAP tienen una estructura jerárquica que los identifica de forma exclusiva. Por lo tanto, una aplicación se puede conectar al gestor de colas y presentar su ID de usuario como el ID de usuario jerárquico totalmente calificado.

No obstante, para simplificar la información que debe proporcionar una aplicación, se puede configurar un gestor de colas que asuma que la primera parte de la jerarquía es común a todos los ID y que la añada automáticamente antes del ID abreviado que proporciona la aplicación. A continuación, el gestor de colas puede presentar un ID completo al servidor LDAP.

Establezca BASEDNU en el punto inicial en el que la búsqueda LDAP busca el ID en la jerarquía LDAP. Cuando haya establecido BASEDNU, debe asegurarse de que solo se devuelve un resultado al buscar el ID en la jerarquía de LDAP.

Representación en diagrama de una jerarquía LDAP. — Figura 2. Un ejemplo de jerarquía de LDAP

Por ejemplo, en la Figura 2 BASEDNU se puede establecer en "ou=users, o=ibm, c = UK" o ", o=ibm, c = UK". No obstante, debido a que existe un nombre distinguido que contiene "cn=useradm" en la rama "o=ibm" y en la rama "o=Company", BASEDNU no se puede establecer en "c=UK". Por motivos de rendimiento y seguridad, utilice el punto más alto de la jerarquía de LDAP desde el que pueda hacer referencia a todos los ID de usuario que necesite. En este ejemplo, sería "ou=users,o=ibm,c=UK".

Su aplicación puede enviar al gestor de colas el ID de usuario sin proporcionar el nombre de atributo LDAP, por ejemplo, CN=. Si establece USRFIELD en el nombre de atributo LDAP, este valor se añade como prefijo al ID de usuario que procede de la aplicación. Esto puede resultar útil como ayuda para la migración cuando se mueven los ID de usuario del sistema operativo a los ID de usuario LDAP, ya que la aplicación puede presentar entonces la misma serie en ambos casos y evitará tener que cambiar la aplicación.

Por lo tanto, el ID de usuario completo presentado al servidor LDAP será similar al siguiente:

USRFIELD = ID_from_application BASEDNU