Controllo dell'accesso a IBM App Connect Enterprise

Esistono diversi fattori da considerare quando si decide quali utenti possono eseguire i comandi App Connect Enterprise e quali utenti possono controllare la sicurezza per le risorse.

Informazioni su questa attività

Sebbene la maggior parte della sicurezza per App Connect Enterprise e le relative risorse sia facoltativa, potresti trovare appropriato limitare le attività che alcuni ID utente possono eseguire. Quindi, è possibile applicare un controllo maggiore per monitorare le modifiche.

È possibile gestire tutte le attività di amministrazione di IBM® App Connect Enterprise attivando la sicurezza di amministrazione. È possibile abilitare la sicurezza di gestione e specificare la modalità di autorizzazione, impostando le proprietà authorizationEnabled e authorizationMode nei file di configurazione node.conf.yaml o server.conf.yaml oppure utilizzando il comando mqsichangeauthmode . Questa attività è descritta in Abilitazione della sicurezza di amministrazioneed è indipendente dalle attività descritte in questa sezione.

Quando si decide quali utenti devono eseguire le diverse attività, è necessario considerare i seguenti passaggi:

Procedura

  1. Decidere quale account utente utilizzare per l'ID servizio del nodo di integrazione
  2. Impostazione della sicurezza sul nodo di integrazione
  3. Protezione del registro del nodo di integrazione

Scelta dell'account utente da utilizzare per l'ID servizio del nodo di integrazione

Informazioni su questa attività

Su un sistema operativo Linux o UNIX, quando si esegue il comando ibmint start node o mqsistart con un ID utente che è membro dei gruppi mqm e mqbrkrs, l'ID utente con cui si esegue il comando diventa l'ID utente con cui viene eseguito il processo del nodo di integrazione.

Sulla piattaforma Windows , il nodo di integrazione viene eseguito con un account utente del servizio. Per decidere quale ID utente utilizzare per l'ID servizio, rispondere alle seguenti domande:

Procedura

  1. Si desidera che il nodo di integrazione venga eseguito in un account locale Windows ?
    1. No: andare alla domanda successiva.
    2. Sì: assicurarsi che l'ID utente abbia le seguenti caratteristiche:
      • È definito nel dominio locale.
      • È membro del gruppo mqbrkrs.

      Andare a Impostazione della sicurezza sul nodo di integrazione.

  2. Si desidera che il nodo di integrazione venga eseguito in un account di dominio Windows ?
    1. No: andare alla domanda successiva.
    2. Sì: Assumere che il computer denominato, ad esempio, WKSTN1, sia un membro di un dominio denominato DOMAIN1. Quando si esegue un nodo di integrazione utilizzando, ad esempio, DOMAIN1\user1, assicurarsi che:
      • All'ID utente è stato concesso il privilegio Logon as a service (dalla politica di sicurezza locale).
      • DOMAIN1\user1 è un membro di DOMINIO1\ Il mio gruppo di domini gruppo, dove MyDomainGroup è un gruppo di dominio che hai definito sul controller di dominio.
      • DOMAIN1\MyDomainGroup è un membro di WKSTN1\mqbrkrs.

      Andare a Impostazione della sicurezza sul nodo di integrazione.

  3. Si desidera che il nodo di integrazione venga eseguito nell'accountWindows integrato LocalSystem ?
    1. SÌ: SpecificareLocalSystem per il-i parametro sulmqsicreatebroker comando.

      In entrambi i casi è necessario inserire il file-a (password) sulla riga di comando, ma il valore immesso viene ignorato.

Risultati

Tenere presente che per i casi uno e due precedenti, all'ID utente scelto deve essere concesso il privilegio Logon as a service .

Questa operazione viene eseguita automaticamente dal comando mqsichangeproperties quando viene specificato un ID utente di servizio che non dispone di questo privilegio.

Tuttavia, se si desidera eseguire questa operazione manualmente prima di eseguire questi comandi, è possibile farlo utilizzando lo strumento Criteri di sicurezza locale in Windows, a cui è possibile accedere selezionando Pannello di controllo > Prestazioni e manutenzione > Strumenti di amministrazione > Criteri di protezione locali.

Impostazione della sicurezza sul nodo di integrazione

Informazioni su questa attività

Se si utilizza la modalità di autorizzazione basata sulla coda per il nodo di integrazione (modalitàmq ), al gruppo mqbrkrs locale viene concesso l'accesso alle code interne i cui nomi iniziano con i caratteri SYSTEM.BROKER. Se si sta usando la modalità di autorizzazione basata su file, al gruppo mqbrkrs locale vengono concesse le autorizzazioni di lettura, scrittura ed esecuzione sul nodo di integrazione per l'esecuzione di comandi mqsi locali. Assicurarsi che gli ID utenti che richiedono queste autorizzazioni siano membri del gruppo mqbrkrs .

Protezione del registro del nodo di integrazione

Informazioni su questa attività

L'operazione del nodo di integrazione dipende dalle informazioni nel registro del nodo di integrazione, che è necessario proteggere per evitare un danneggiamento accidentale. Il registro del nodo di integrazione viene memorizzato sul file system nella directory del percorso di lavoro, specificata dalla variabile di ambiente MQSI_WORKPATH. Impostare le opzioni di sicurezza del sistema operativo in modo che solo gli ID utente che sono membri del gruppo mqbrkrs possano leggere o scrivere in integrationNodeName/CurrentVersion e in tutte le sottochiavi.