IBM MQ ConsoleREST API 에 대한 LDAP 레지스트리 구성

mqwebuser.xml 파일 내에서 LDAP 레지스트리를 구성할 수 있습니다. LDAP 레지스트리의 사용자 이름 및 비밀번호는 IBM® MQ ConsoleREST API의 사용자를 인증하고 권한을 부여하는 데 사용됩니다.

시작하기 전에

  • LDAP 레지스트리를 구성할 때 각 사용자에게 역할을 지정해야 합니다. 각 역할은 IBM MQ ConsoleREST API에 액세스할 수 있는 서로 다른 레벨의 권한을 제공하고 허용된 조작을 시도할 때 사용되는 보안 컨텍스트를 판별합니다. 레지스트리를 구성하기 전에 이러한 역할을 이해해야 합니다. 각 역할에 대한 자세한 정보는 IBM MQ 콘솔 및 REST API의 역할을 참조하십시오.

    MQWebUser 역할이 지정된 사용자는 큐 관리자에서 수행하도록 사용자 ID가 제공된 조작만 수행할 수 있습니다. 따라서 LDAP 서버에 정의된 사용자 ID는 IBM MQ 가 설치된 시스템에서 동일한 사용자 ID를 가져야 합니다. 이러한 사용자 ID는 동일한 대소문자로 되어 있어야 합니다. 그렇지 않을 경우 사용자 ID 간 맵핑이 실패합니다.

  • 이 태스크를 완료하려면 mqwebuser.xml 파일을 편집할 수 있는 충분한 권한이 있는 사용자여야 합니다.
    • [z/OS] z/OS®에서는 mqwebuser.xml 파일에 대한 쓰기 액세스 권한이 있어야 합니다.
    • [UNIX, Linux, Windows, IBM i] 기타 모든 운영 체제에서는 권한이 있는 사용자여야 합니다.
    • [2024년 6월MQ 9.4.0 ][Linux]mqweb 서버가 독립형 IBM MQ Web Server 설치의 일부인 경우 IBM MQ Web Server 데이터 디렉토리의 mqwebuser.xml 파일에 대한 쓰기 액세스 권한이 있어야 합니다.

프로시저

  1. 다음 경로 중 하나에서 샘플 XML 파일 ldap_registry.xml 을 복사하십시오.
    • IBM MQ 설치의 경우:
      • [AIX, Linux, Windows] AIX®, Linux®, and Windows의 경우: MQ_INSTALLATION_PATH /web/mq/samp/configuration
      • [z/OS] z/OS의 경우: PathPrefix /web/mq/samp/configuration

        여기서 PathPrefixIBM MQ for z/OS UNIX System Services Components 설치 경로입니다.

    • [2024년 6월MQ 9.4.0 ][Linux]독립형 IBM MQ Web Server 설치의 경우: MQWEB_INSTALLATION_PATH/web/mq/samp/configuration

      여기서 MQWEB_INSTALLATION_PATHIBM MQ Web Server 설치 파일의 압축을 푼 디렉토리입니다.

  2. 샘플 파일을 적절한 디렉토리에 배치하십시오.
    • IBM MQ 설치의 경우:
      • [AIX][Linux] AIX 또는 Linux: /var/mqm/web/installations/installationName/servers/mqweb
      • [Windows] Windows: MQ_DATA_PATH\web\installations\installationName\servers\mqweb, 여기서 MQ_DATA_PATH IBM MQ 데이터 경로입니다. 이 경로는 IBM MQ설치 중에 선택되는 데이터 경로입니다. 기본적으로 이 경로는 C:\ProgramData\IBM\MQ입니다.
      • [z/OS] z/OS의 경우: WLP_user_directory/servers/mqweb

        여기서 WLP_user_directory는 mqweb 서버 정의를 작성하기 위해 crtmqweb 스크립트를 실행할 때 지정된 디렉토리입니다.

    • [2024년 6월MQ 9.4.0 ][Linux]독립형 IBM MQ Web Server 설치의 경우: MQ_OVERRIDE_DATA_PATH/web/installations/MQWEBINST/servers/mqweb

      여기서 MQ_OVERRIDE_DATA_PATHMQ_OVERRIDE_DATA_PATH 환경 변수가 가리키는 IBM MQ Web Server 데이터 디렉토리입니다.

  3. 선택사항: mqwebuser.xml에서 구성 설정을 변경한 경우 이를 샘플 파일에 복사하십시오.
  4. 기존 mqwebuser.xml 파일을 삭제하고 샘플 파일의 이름을 mqwebuser.xml로 바꾸십시오.
  5. mqwebuser.xml 파일을 편집하여 ldapRegistryidsLdapFilterProperties 태그 내에서 LDAP 레지스트리 설정을 변경하십시오.

    LDAP 레지스트리 구성에 대한 자세한 정보는 WebSphere® Liberty 문서의 Liberty에서 LDAP 사용자 레지스트리 구성 을 참조하십시오.

  6. mqwebuser.xml 파일을 편집하여 사용자 및 그룹에 역할을 지정하십시오.

    IBM MQ ConsoleREST API를 사용하도록 사용자 및 그룹에 권한을 부여하는 여러 역할을 사용할 수 있습니다. 각 역할은 서로 다른 레벨의 액세스 권한을 부여합니다. 자세한 정보는 IBM MQ 콘솔 및 REST API의 역할을 참조하십시오.

    • 역할을 지정하고 IBM MQ Console에 대한 액세스 권한을 부여하려면 <enterpriseApplication id="com.ibm.mq.console"> 태그 내에서 적절한 security-role 태그 사이에 사용자 및 그룹을 추가하십시오.

    • 역할을 지정하고 REST API에 대한 액세스 권한을 부여하려면 <enterpriseApplication id="com.ibm.mq.rest"> 태그 내에서 적절한 security-role 태그 사이에 사용자 및 그룹을 추가하십시오.

다음에 수행할 작업

사용자 인증 방법을 선택하십시오.
IBM MQ Console 인증 옵션
  • 사용자가 토큰 인증을 사용하여 인증하게 합니다. 이 경우 사용자는 IBM MQ Console 로그인 화면에 사용자 ID및 비밀번호를 입력합니다. 사용자가 설정된 시간 동안 로그인되어 권한 부여된 상태를 유지할 수 있게 하는 LTPA 토큰이 생성됩니다. 이 인증 옵션을 사용하기 위해 추가 구성은 필요하지 않지만 선택적으로 LTPA 토큰의 만기 간격을 구성할 수 있습니다. 자세한 정보는 LTPA 토큰 만기 간격 구성을 참조하십시오.
  • 사용자가 클라이언트 인증서를 사용하여 인증하게 합니다. 이 경우 사용자는 사용자 ID 또는 비밀번호를 사용하여 IBM MQ Console에 로그인하지 않고 대신 클라이언트 인증서를 사용합니다. 자세한 정보는 REST API및 IBM MQ 콘솔을 사용하여 클라이언트 인증서 인증 구성을 참조하십시오.
REST API 인증 옵션
  • 사용자가 HTTP 기본 인증을 사용하여 인증하게 합니다. 이 경우 사용자 이름 및 비밀번호가 인코딩되지만 암호화되지 않으며 각 REST API 요청과 함께 전송되어 해당 요청에 대해 사용자를 인증하고 권한을 부여합니다. 이 인증에 보안을 설정하려면 보안 연결을 사용해야 합니다. 즉, HTTPS를 사용해야 합니다. 더 자세한 정보는 REST API와 함께 HTTP 기본 인증을 사용하는 방법을 참고하세요.
  • 사용자가 토큰 인증을 사용하여 인증하게 합니다. 이 경우, 사용자는 HTTP REST API login 리소스에 사용자 ID와 비밀번호를 제공합니다. 사용자가 설정된 시간 동안 로그인되어 권한 부여된 상태를 유지할 수 있게 하는 LTPA 토큰이 생성됩니다. 자세한 정보는 REST API에서 토큰 기반 인증 사용을 참조하십시오. LTPA 토큰의 만기 간격을 구성할 수 있습니다. 자세한 정보는 LTPA 토큰 구성을 참조하십시오.
  • 사용자가 클라이언트 인증서를 사용하여 인증하게 합니다. 이 경우 사용자는 사용자 ID 또는 비밀번호를 사용하여 REST API에 로그인하지 않고 대신 클라이언트 인증서를 사용합니다. 자세한 정보는 REST API및 IBM MQ 콘솔을 사용하여 클라이언트 인증서 인증 구성을 참조하십시오.