Impostazione delle autorizzazioni

Come utilizzare il nome breve o USRFIELD per impostare le autorizzazioni.

L'approccio di lavorare con più formati, descritto in Autorizzazione LDAP su multipiattaforma , continua nei comandi di autorizzazione, con un'ulteriore estensione che o theshortname oppure USRFIELD può essere utilizzato in modo disadorno.

La stringa di caratteri specifica un attributo particolare nel record LDAP quando si nominano gli utenti (principal) per l'autorizzazione.

Importante: La stringa di caratteri non deve contenere il carattere = , perché questo carattere non può essere utilizzato in un ID utente del sistema operativo.

Se si passa un nome principal all'OAM per l'autorizzazione che è potenzialmente una shortname, la stringa di caratteri deve inserirti in 12 caratteri. L'algoritmo di mappatura prima cerca di risolverlo su un DN utilizzando l'attributo SHORTUSR nella sua query LDAP.

Se questo non riesce con un errore UNKNOWN_ENTITY o se la stringa data non può essere probabilmente una shortname, viene effettuato un ulteriore tentativo di utilizzo dell'attributo USRFIELD per costruire la query LDAP.

Attenzione: Se è stato eseguito il comando DEFINE AUTHINFO, è necessario riavviare il gestore code. Se non si riavvia il gestore code, il comando setmqaut non restituisce il risultato corretto.

Per le autorizzazioni utente di elaborazione, le seguenti impostazioni di comando setmqaut sono tutte equivalenti.

Tabella 1. Impostazioni di autorizzazione utente
Comando	Nota
`setmqaut -m QM -t qmgr -p jodoe +connect`	Questo è un nome piatto, non qualificato, risolto tramite SHORTUSR.
`setmqaut -m QM -t qmgr -pJohnDoe1@yourcompany.com +connect`	Anche un nome piatto, non qualificato, risolvente tramite USRFIELD alla stessa entità.
`setmqaut -m QM -t qmgr -p email=JohnDoe1@yourcompany.com +connect`	Utilizzo di un attributo named.
`setmqaut -m QM -t qmgr -p "phone=1234567" +connect`	Utilizzo di un altro attributo named che non deve essere di quelli configurati sull'oggetto AUTHINFO.

È possibile utilizzare il comando MQSC SET AUTHREC come alternativa al comando setmqaut :

SET AUTHREC OBJTYPE(QMGR) PRINCIPAL('JohnDoe1@yourcompany.com') AUTHADD(connect)

o il comando PCF di Set Authority Record (MQCMD_SET_AUTH_REC) con l'elemento MQCACF_LONPAL_ENTITY_NAMES contenente la stringa:

 "cn=JohnDoe,ou=users,o=yourcompany,c=yourcountry"

Quando i gruppi di elaborazione non ci sono ambiguità sull'elaborazione di shortname , in quanto non esiste alcun requisito per adattare qualsiasi forma di nome di gruppo in 12-characters. Pertanto, non esiste un equivalente dell'attributo SHORTUSR per i gruppi.

Ciò significa che gli esempi di sintassi descritti in Tabella 2 sono validi, ipotizzando di aver configurato l'oggetto AUTHINFO con gli attributi estesi e impostati su:

GRPFIELD(longname) 
BASEDNG(ou=groups,o=yourcompany,c=yourcountry ) CLASSGRP(groupOfNames)

Tabella 2. Impostazioni di autorizzazione del gruppo
Comando	Nota
`setmqaut -m QM -t qmgr -g ApplicationGroupA +connect`	Utilizzo di GRPFIELD da risolvere
`setmqaut -m QM -t qmgr -g longname=ApplicationGroupA +connect`	Denominazione di un singolo attributo
`setmqaut -m QM -t qmgr -g "cn=Application Group A,ou=groups,o=yourcompany,c=yourcountry" +connect`	Utilizzo del DN completo

È possibile utilizzare il comando MQSC SET AUTHREC come alternativa al comando setmqaut precedente:

SET AUTHREC OBJTYPE(QMGR) GROUP('ApplicationGroupA') 
      AUTHADD(connect)

o il comando PCF di Set Authority Record (MQCMD_SET_AUTH_REC) con l'elemento MQCACF_GROUP_ENTITY_NAMES contenente la stringa:

 "ApplicationGroupA"

Importante:

Qualunque sia il formato che si utilizza per fare riferimento ad un nome, sia per utente che per gruppo, deve essere possibile ricavare un DN univoco.

Quindi, ad esempio, non è necessario avere due record distinti che hanno entrambi "shortu=jodoe".

Se un singolo DN univoco non può essere determinato, l'OAM restituisce MQRC_UNKNOWN_ENTITY.