Control de accesos y varias colas de transmisión de clúster
Elija entre tres modalidades de comprobación cuando una aplicación transfiere mensajes a las colas de clúster remoto. Las modalidades se están comprobando de forma remota en la cola de clúster, se están comprobando localmente en SYSTEM.CLUSTER.TRANSMIT.QUEUE, o se están comprobando los perfiles locales para la cola de clúster o el gestor de colas de clúster.
IBM® MQ le ofrece la opción de comprobar localmente, o local y remotamente, que un usuario tiene permiso para transferir un mensaje a una cola remota. Una aplicación típica de IBM MQ utiliza únicamente comprobaciones locales y confía en que el gestor de colas remoto confíe en las comprobaciones de acceso realizadas en el gestor de colas local. Si no se utiliza la comprobación remota, el mensaje se transfiere a la cola de destino con la autoridad del proceso de canal de mensajes remoto. Para utilizar la comprobación remota debe establecer la autorización de transferencia del canal receptor en la seguridad de contexto.
Las comprobaciones locales se realizan en la cola que la aplicación abre. En las colas distribuidas, la aplicación normalmente abre una definición de cola remota y las comprobaciones de acceso se realizan sobre la definición de cola remota. Si el mensaje se transfiere con una cabecera de direccionamiento completa, las comprobaciones se realizan en la cola de transmisión. Si una aplicación abre una cola de clúster que no está en el gestor de colas local, no hay ningún objeto local que comprobar. Las comprobaciones de control de acceso se realizan en la cola de transmisión de clúster, SYSTEM.CLUSTER.TRANSMIT.QUEUE. Incluso con varias colas de transmisión de clúster, las comprobaciones de control de acceso local para las colas de clúster remoto se realizan en SYSTEM.CLUSTER.TRANSMIT.QUEUE.
La elección entre la comprobación local o remota es una elección entre dos extremos. La comprobación remota es precisa. Cada usuario debe tener un perfil de control de acceso en cada gestor de colas del clúster para transferirlo a cualquier cola de clúster. La comprobación local es general. Cada usuario necesita sólo un perfil de control de acceso para la cola de transmisión de clúster en el gestor de colas al que está conectado. Con este perfil, pueden transferir un mensaje a cualquier cola de clúster en cualquier gestor de colas de cualquier clúster.
Los administradores tienen otra forma de configurar el control de acceso para las colas de clúster. Puede crear un perfil de seguridad para una cola de clúster en cualquier gestor de colas del clúster mediante el mandato setmqaut. El perfil tiene efecto si abre una cola de clúster remota localmente, especificando sólo el nombre de la cola. También puede configurar un perfil para un gestor de colas remoto. Si lo hace, el gestor de colas puede comprobar el perfil de un usuario que abre una cola de clúster proporcionando un nombre completo.
Los nuevos perfiles sólo funcionan si se cambia la configuración de la estrofa del gestor de colas ClusterQueueAccessControl a RQMName. El valor predeterminado es Xmitq. Antes de modificar esta configuración, asegúrese de crear perfiles para todas las aplicaciones existentes que acceden a colas de clúster remotas. Si cambia la configuración de stanza a RQMName sin crear perfiles, es probable que las aplicaciones fallen.
![[z/OS]](ngzos.gif)
Los cambios también alinean más estrechamente el enfoque de comprobación de acceso para las colas de clúster con z/OS®. Los comandos para configurar la comprobación de acceso en z/OS son diferentes, pero ambos comprueban el acceso contra un perfil en lugar de contra el objeto en sí.