REFRESH SECURITY (aggiorna impostazioni di protezione)

Utilizzare il comando MQSC REFRESH SECURITY per eseguire un aggiornamento della sicurezza.

Utilizzo dei comandi MQSC

Per informazioni sull'utilizzo dei comandi MQSC, consultare Amministrazione IBM® MQ mediante i comandi MQSC.

Diagramma sintattico per REFRESH SECURITY
Vedi Usare REFRESH SECURITY su z/OS
Note di utilizzo per REFRESH SECURITY
Descrizioni dei parametri per REFRESH SECURITY

Diagramma di sintassi per REFRESH SECURITY

Sinonimo: REF SEC

REBUILD SECURITY è un altro sinonimo di REFRESH SECURITY su z/OS®.

Aggiorna sicurezza

Note:

¹ Valido solo suz/OS .
² Non valido suz/OS .
³ Valido solo suz/OS quando il gestore code è membro di un gruppo di condivisione code.

Nota : il comando AGGIORNA SICUREZZA non può essere utilizzato per aggiornare l'archivio chiavi nella configurazione HA nativa del gestore code. Per garantire che le modifiche al repository delle chiavi o ai certificati di Native HA vengano rilevate, riavviare ogni istanza nel gruppo Native HA (ad esempio, tramite un aggiornamento continuo di un nuovo segreto).

Utilizzo di REFRESH SECURITY su z/OS

REFRESH SECURITY può essere utilizzato su z/OS. A seconda dei parametri utilizzati nel comando, questo può essere emesso da varie fonti. Per una spiegazione dei simboli di questa tabella, vedere Sorgenti da cui è possibile emettere comandi MQSC e PCF su IBM MQ for z/OS.

Tabella 1. Comando REFRESH SECURITY e sorgenti di comando
Comando	Fonti dei comandi	Note
AGGIORNA TIPO DI SICUREZZA(CLASSI)	CR
AGGIORNA TIPO DI SICUREZZA (SSL)	CR	Non consentito da CSQINPT oCSQINP2 . L'iniziatore del canale deve essere in esecuzione.

Note d'uso per REFRESH SECURITY

Quando si emette il comando REFRESH SECURITY TYPE(SSL) MQSC, tutti i canali TLS in esecuzione vengono fermati e riavviati. A volte i canali TLS possono richiedere molto tempo per l'arresto e ciò significa che l'operazione di aggiornamento richiede del tempo per essere completata. Il tempo limite per il completamento di un aggiornamento TLS è di 10 [z/OS]

(or 1 minute on z/OS), quindi il comando può potenzialmente impiegare 10 minuti per terminare. Questo può dare l'aspetto che l'operazione di aggiornamento ha "congelato". L'operazione di aggiornamento fallirà con un messaggio di errore MQSC di AMQ9710 o un errore PCF MQRCCF_COMMAND_FAILED se il timeout viene superato prima che tutti i canali si siano fermati. Ciò può verificarsi se si verificano le seguenti condizioni:

Il gestore code ha molti canali TLS in esecuzione contemporaneamente quando viene richiamato il comando di aggiornamento
I canali gestiscono un numero elevato di messaggi

Se un aggiornamento non riesce in queste condizioni, ritentare il comando in un momento successivo quando il gestore code è meno occupato. Nel caso in cui siano in esecuzione molti canali, si può scegliere di interrompere manualmente alcuni di essi prima di invocare il comando REFRESH.

Quando si utilizza TYPE(SSL):

Su z/OS, il server di comando e l'iniziatore di canale devono essere in esecuzione.
Su z/OS, IBM MQ determina se è necessario un aggiornamento a causa di uno o più dei seguenti motivi:
- Il contenuto del repository delle chiavi è cambiato
- La posizione del server LDAP da utilizzare per gli elenchi di revoche di certificazione è stata modificata
- La posizione del repository delle chiavi è cambiata
Se non è necessario alcun aggiornamento, il comando viene completato correttamente e i canali non vengono interessati.
On Multipiattaforme, the command updates all TLS channels regardless of whether a security refresh is needed.
Se deve essere eseguito un aggiornamento, il comando aggiorna tutti i canali TLS attualmente in esecuzione, come segue:
- I canali mittente, server e mittente cluster che utilizzano TLS possono completare il batch corrente. In generale, quindi, eseguono nuovamente l'handshake TLS con la vista aggiornata del repository delle chiavi TLS. Tuttavia, è necessario riavviare manualmente un canale requester-server su cui la definizione del server non ha alcun parametro CONNAME.
- I canali AMQP che utilizzano TLS vengono riavviati, con tutti i client attualmente connessi disconnessi in modo forzato. Il client riceve un messaggio di errore AMQP amqp:connection:forced .
- Tutti gli altri tipi di canale che utilizzano TLS vengono interrotti con un comando STOP CHANNEL MODE(FORCE) STATUS(INACTIVE). Se l'estremità partner del canale di messaggi arrestato dispone di valori di tentativi definiti, i tentativi del canale e il nuovo handshake TLS utilizzano la vista aggiornata del contenuto del repository delle chiavi TLS, l'ubicazione del server LDAP da utilizzare per gli elenchi di revoca delle certificazioni e l'ubicazione del repository delle chiavi. Nel caso di un canale di connessione server, l'applicazione client perde la connessione al gestore code e deve riconnettersi per continuare.

Quando si utilizza TYPE(CLASSES):

Le classi MQADMIN, MQNLIST, MQPROC e MQQUEUE possono contenere solo profili definiti in maiuscolo.
Le classi MXADMIN, MXNLIST, MXPROC e MQXUEUE possono contenere profili definiti in maiuscole e minuscole.
La classe MXTOPIC può essere aggiornata utilizzando classi maiuscole o miste. Sebbene sia una classe mista, è l'unica classe mista che può essere attiva con entrambi i gruppi di classi.
Le classi MQCMD e MQCONN non possono essere specificate e non sono incluse da REFRESH SECURITY CLASS(*).
Le informazioni sulla sicurezza dalle classi MQCMD e MQCONN non vengono memorizzate nella cache del gestore code. Per ulteriori informazioni, vedere Aggiornamento della sicurezza del gestore delle code su z/OS.

Note:

Esecuzione di aREFRESH SECURITY(*) TYPE(CLASSES) L'operazione è l'unico modo per modificare le classi utilizzate dal sistema dal supporto solo maiuscolo al supporto misto.
A questo scopo, controllare l'attributo del gestore di coda SCYCASE per vedere se è impostato su UPPER o MIXED.
È tua responsabilità assicurarti di aver copiato o definito tutti i profili necessari nelle classi appropriate prima di effettuare unREFRESH SECURITY(*) TYPE(CLASSES) operazione.
L'aggiornamento di una singola classe è consentito solo se le classi attualmente utilizzate sono dello stesso tipo. Ad esempio, se MQPROC è in uso, è possibile emettere un aggiornamento per MQPROC ma non per MXPROC.

Descrizioni dei parametri per REFRESH SECURITY

Il qualificatore di comando consente di indicare un comportamento più preciso per un valore specifico TYPE. Seleziona da:

*

Viene eseguito un aggiornamento completo del tipo specificato. [z/OS]

Questo è il valore predefinito sui sistemi z/OS .

MQADMIN

Valido solo se TYPE è CLASSES. Specifica che le risorse di tipo Amministrazione devono essere aggiornate. Valido solo su z/OS.

Nota: Se durante l'aggiornamento di questa classe viene stabilito che è stato modificato un interruttore di sicurezza relativo a una delle altre classi, viene eseguito un aggiornamento anche per quella classe.

MQNLIST

Valido solo se TYPE è CLASSES. Specifica che le risorse dell'elenco nomi devono essere aggiornate. Valido solo su z/OS.

MQPROC

Valido solo se TYPE è CLASSES. Specifica che le risorse di processo devono essere aggiornate. Valido solo su z/OS.

MQQUEUE

Valido solo se TYPE è CLASSES. Specifica che le risorse della coda devono essere aggiornate. Valido solo su z/OS.

MXADMIN

Valido solo se TYPE è CLASSES. Specifica che le risorse di tipo amministrativo devono essere aggiornate. Valido solo su z/OS.

MXNLIST

Valido solo se TYPE è CLASSES. Specifica che le risorse dell'elenco nomi devono essere aggiornate. Valido solo su z/OS.

MXPROC

Valido solo se TYPE è CLASSES. Specifica che le risorse del processo devono essere aggiornate. Valido solo su z/OS.

MXQUEUE

Valido solo se TYPE è CLASSES. Specifica che le risorse della coda devono essere aggiornate. Valido solo su z/OS.

MXTOPIC

Valido solo se TYPE è CLASSES. Specifica che le risorse dell'argomento devono essere aggiornate. Valido solo su z/OS.

CMDSCOPE

Questo parametro si applica az/OS only e specifica come viene eseguito il comando quando il gestore code è un membro di un gruppo di condivisione code.

' ': Il comando viene eseguito sul gestore code su cui è stato immesso. Questo è il valore for non-z/OS systems.
nome-qmgr: Il comando viene eseguito sul gestore code specificato, a condizione che il gestore code sia attivo all'interno del gruppo di condivisione code.
È possibile specificare un nome di gestore code, diverso dal gestore code su cui è stato immesso il comando, solo se si utilizza un ambiente di gruppo di condivisione code e se il server dei comandi è abilitato.
*: Il comando viene eseguito sul gestore code locale e viene inoltre passato a ogni gestore code attivo nel gruppo di condivisione code. L'effetto è lo stesso che si ottiene immettendo il comando su ogni gestore code nel gruppo di condivisione code.

TIPO

Specifica il tipo di aggiornamento da eseguire.

AuthServ

L'elenco delle autorizzazioni conservate internamente dal componente dei servizi di autorizzazione viene aggiornato.

Questo è il valore predefinito.

Classi

IBM MQESM in-storage (responsabile della sicurezza esterno, ad esempioRACF® ) i profili vengono aggiornati. I profili in archivio per le risorse richieste vengono eliminati. Le nuove voci vengono create quando vengono eseguiti i relativi controlli di sicurezza e vengono convalidate alla successiva richiesta di accesso da parte dell'utente.

È possibile selezionare classi di risorse specifiche per le quali eseguire l'aggiornamento della sicurezza.

Questo è valido solo suz/OS dove è l'impostazione predefinita.

CONNAUTH

Aggiorna la vista memorizzata nella cache della configurazione per l'autenticazione della connessione.

La configurazione dell'autenticazione della connessione è costituita dalle seguenti risorse:

L'oggetto AUTHINFO a cui fa riferimento l'attributo CONNAUTH del gestore code.
La configurazione del token di autenticazione nella stanza AuthToken del file qm.ini .
Il keystore che contiene i certificati e le chiavi simmetriche utilizzate per convalidare i token di autenticazione. L'attributo KeyStore della stanza AuthToken fa riferimento a questo keystore.

È necessario aggiornare la configurazione prima che il gestore code riconosca le modifiche a queste risorse.

[UNIX, Linux, Windows, IBM i] On Multipiattaforme, this is a synonym for AUTHSERV.

Per ulteriori informazioni, vedere Autenticazione della connessione.

The JWKS configuration for any issuer configured in the Stanza JWKS del file qm.ini . L'endpoint JWKS viene interrogato e memorizzato nella cache all'avvio del gestore delle code e in seguito periodicamente; tuttavia REFRESH SECURITY TYPE(CONNAUTH) attiva un aggiornamento immediato, scartando tutte le chiavi esistenti e recuperando immediatamente tutte le chiavi per questo emittente.

Nota: Se l'endpoint JWKS (il vostro server di autenticazione) non può essere raggiunto nel momento in cui viene emesso REFRESH SECURITY, tutte le chiavi per questo emittente vengono invalidate fino a quando l'emittente non può essere contattato. Ciò significa che a nessuna applicazione che utilizza i token firmati da questo endpoint è consentito connettersi.

SSL

Aggiorna la vista memorizzata nella cache del repository di chiavi SSL (Secure Sockets Layer) o Transport Layer Security e consente agli aggiornamenti di diventare effettivi una volta completato correttamente il comando. Vengono inoltre aggiornate le ubicazioni di:

I server LDAP da utilizzare per gli elenchi di revoca certificati
Il deposito delle chiavi

così come qualsiasi parametro hardware crittografico specificato tramite IBM MQ.

Tutte le modifiche apportate alle regole di CHLAUTH sono immediatamente disponibili, quindi non è necessario aggiornarle.