Impostazione delle autorizzazioni basate sulla coda su sistemi Linux, AIXe Windows

Utilizzare la sicurezza di amministrazione basata sulla coda per concedere agli utenti le autorizzazioni per completare specifiche attività su un nodo di integrazione o un server di integrazione in esecuzione su Linux®, AIX®o Windows.

Prima di iniziare

Utilizzare il comando mqsichangeauthmode per attivare la sicurezza di gestione e per specificare la modalità di gestione della sicurezza basata sulla coda per il nodo di integrazione o il server di integrazione.

Informazioni su questa attività

Per ragioni di sicurezza, è importante che le autorizzazioni siano impostate correttamente. È possibile utilizzare i comandi IBM® MQ per configurare e gestire i livelli di sicurezza desiderati. Utilizzare il comando setmqaut per impostare le autorizzazioni richieste e il comando dspmqaut per verificare quali autorizzazioni sono state impostate.

Per consentire agli utenti di agire sul nodo di integrazione e sulle relative risorse sono necessarie le seguenti autorizzazioni:

Tabella 1. Autorizzazioni richieste per agire su un nodo di integrazione
Azione	Autorizzazione nodo di integrazione	Coda	IBM MQ autorizzazione (impostata con il comando setmqaut)
Visualizza	leggi	SYSTEM.BROKER.AUTH	+ INQ
Crea	scrivi	SYSTEM.BROKER.AUTH	+ PUT
Elimina	scrivi	SYSTEM.BROKER.AUTH	+ PUT
Modifica	scrivi	SYSTEM.BROKER.AUTH	+ PUT
Avvia	esegui	SYSTEM.BROKER.AUTH	+ SET
Arresta	esegui	SYSTEM.BROKER.AUTH	+ SET

Tabella 2. Autorizzazioni richieste per agire su un server di integrazione
Azione	Autorizzazione server di integrazione	Coda	IBM MQ autorizzazione (impostata con il comando setmqaut)
Visualizza	leggi	SYSTEM.BROKER.AUTH.EG	+ INQ
Crea	scrivi	SYSTEM.BROKER.AUTH.EG	+ PUT
Elimina	scrivi	SYSTEM.BROKER.AUTH.EG	+ PUT
Modifica	scrivi	SYSTEM.BROKER.AUTH.EG	+ PUT
Avvia	esegui	SYSTEM.BROKER.AUTH.EG	+ SET
Arresta	esegui	SYSTEM.BROKER.AUTH.EG	+ SET

Tabella 3. Autorizzazioni richieste per agire su un record di ripetizione e su un oggetto di monitoraggio delle transazioni di business
Azione	Autorizzazione nodo di integrazione / server di integrazione	Coda	IBM MQ autorizzazione (impostata con il comando setmqaut)
Visualizza	leggi	SYSTEM.BROKER.DC.AUTH	+ INQ
Visualizza	leggi	SISTEMA.BROKER.DC.AUTH. `integrazioneServerName`	+ INQ
Riproduci	esegui	SISTEMA.BROKER.DC.AUTH. `integrazioneServerName`	+ SET

Il comando setmqaut concede e revoca le autorizzazioni cumulativamente. Per evitare di conservare le autorizzazioni non desiderate impostate in precedenza, impostarle esplicitamente su ciascun comando setmqaut specificando -all per rimuovere tutte le autorizzazioni esistenti, seguite dalle autorizzazioni che si desidera impostare.

Il seguente comando concede l'autorizzazione di esecuzione e conserva tutte le autorizzazioni già impostate:

setmqaut -m test -t queue -n SYSTEM.BROKER.AUTH -g group1 +set

Il seguente comando concede l'autorizzazione di esecuzione e non conserva alcuna autorizzazione esistente:

setmqaut -m test -t queue -n SYSTEM.BROKER.AUTH -g group1 -all +set

È inoltre possibile impostare più autorizzazioni contemporaneamente. Ad esempio, il seguente comando rimuove tutte le autorizzazioni esistenti e concede le autorizzazioni di esecuzione e scrittura:

setmqaut -m test -t queue -n SYSTEM.BROKER.AUTH -g group1 -all +set +put

Utilizzare il comando dspmqaut dopo ogni comando setmqaut per controllare che le autorizzazioni siano state impostate correttamente.

Per ulteriori informazioni sui comandi riportati negli esempi seguenti e per i dettagli sui parametri, consultare la documentazione online del prodotto " IBM MQ ".

Esempi

Tutti i seguenti esempi sono per un nodo di integrazione associato con il gestore code test.

Concedere l'autorizzazione di esecuzione solo al nodo di integrazione agli ID utente che sono definiti nel gruppo group1:

setmqaut -m test -t queue -n SYSTEM.BROKER.AUTH -g group1 -all +set
dspmqaut -m test -t queue -n SYSTEM.BROKER.AUTH -g group1

Concedere solo l'autorizzazione di esecuzione e scrittura al nodo di integrazione agli ID utente definiti nel gruppo group2:

setmqaut -m test -t queue -n SYSTEM.BROKER.AUTH -g group2 -all +set +put
dspmqaut -m test -t queue -n SYSTEM.BROKER.AUTH -g group2

Revocare l'autorizzazione di esecuzione dagli ID utente che sono definiti nel gruppo group2:

setmqaut -m test -t queue -n SYSTEM.BROKER.AUTH -g group2 -set
dspmqaut -m test -t queue -n SYSTEM.BROKER.AUTH -g group2

Utilizzando un profilo generico IBM MQ su un sistema Linux, concedere solo i permessi di scrittura per tutti i server di integrazione agli ID utente definiti nel gruppo group3 :

setmqaut -m test -t queue -n "SYSTEM.BROKER.AUTH.**" -g group3 -all +put
dspmqaut -m test -t queue -n "SYSTEM.BROKER.AUTH.**" -g group3

Nota: sui sistemi AIX e Linux si racchiudono nomi di profili generici tra virgolette. Per ulteriori informazioni, consultare la documentazione online del prodotto " IBM MQ " e cercare l'argomento " Utilizzo dei profili generici OAM su sistemi UNIX e Windows ".

Utilizzando un comando generico ` IBM MQ `, revoca i permessi di scrittura su un sistema ` Linux ` per tutti i server di integrazione relativi agli ID utente definiti nel gruppo `group3 `:

setmqaut -m test -t queue -n "SYSTEM.BROKER.AUTH.**" -g group3 -all -put
dspmqaut -m test -t queue -n "SYSTEM.BROKER.AUTH.**" -g group3

Concedere solo l'autorizzazione di lettura per un server di integrazione specifico denominato default per gruppo group4:

setmqaut -m test -t queue -n SYSTEM.BROKER.AUTH.default -g group4 -all +inq
dspmqaut -m test -t queue -n SYSTEM.BROKER.AUTH.default -g group4

Revocare l'autorizzazione di esecuzione e scrittura per uno specifico server di integrazione denominato default per il gruppo group5:

setmqaut -m test -t queue -n SYSTEM.BROKER.AUTH.default -g group5 -set -put
dspmqaut -m test -t queue -n SYSTEM.BROKER.AUTH.default -g group5

Utilizzando un file generico ` IBM MQ ` su un sistema non ` Linux `, esporta tutti i permessi ` IBM MQ ` per tutti i server di integrazione:

dmpmqaut -m test -t queue -n SYSTEM.BROKER.AUTH.**