安全性服務

Message Queue 服務支援每個代理程式實例的認證和授權 (存取控制)，也支援加密：

• 認證可確保只有經過驗證的使用者可以建立與代理程式的連線。

• 授權可指定哪些使用者或群組有存取資源及執行特定作業的權限。

• 加密可保護訊息，以防透過連線傳送時遭到篡改。

認證和授權取決於包含有關訊息傳送系統使用者資訊 (如使用者名稱、密碼和群組成員身份) 的儲存庫。此外，若要授權特定作業給使用者或群組，則代理程式必須檢查指定使用者或群組可執行作業的存取控制特性檔案 。您負責設定代理程式需要認證使用者和授權使用者動作的資訊。

圖 3–3 顯示代理程式提供認證與授權服務時所需的元件。

圖 3–3 安全性管理員支援

如圖 3–3 所示，您可以在 Message Queue 服務隨附的平面檔案使用者儲存庫中儲存 使用者資料，也可以外掛於預先存在的 LDAP 儲存庫中。您可以設定代理程式特性來表示您的選擇。

• 如果選擇平面檔案儲存庫，必須使用 imqusermgr 公用程式來管理儲存庫。使用與內建此選項非常容易。

• 如果要使用現有的 LDAP 伺服器，可以使用 LDAP 供應商提供的工具來寫入和管理此使用者儲存庫。此外，必須在代理程式實例配置檔案中設定特性，讓代理程式能查詢 LDAP 伺服器，以取得使用者和群組的相關資訊。

  如果延展性很重要，或者如果需要讓不同代理程式共用儲存庫，則選擇使用 LDAP 比較好。如果使用代理程式叢集，可能也屬於這種情況。

認證和授權

當用戶端請求連線時，該用戶端必須提供使用者名稱和密碼。代理程式會對指定名稱和密碼與儲存在使用者儲存庫中的名稱和密碼進行比較。將此密碼從用戶端傳送至代理程式時，系統會使用 Base64 編碼或訊息摘要 (MD5) 雜湊法，對密碼進行編碼。MD5 用於平面檔案儲存庫，LDAP 儲存庫則需要 Base64 編碼。如果使用 LDAP，可能會需要使用安全 TLS 協定。您可以設定代理程式特性以分別配置每種連線服務所使用的編碼類型，或在代理程式範圍基礎上設定編碼。

當使用者嘗試執行作業時，代理程式會檢查使用者名稱和群組成員身份 (從使用者儲存庫)，是否與為存取此作業所指定 (在存取控制特性檔案中) 的名稱和成員身份相符。存取控制特性檔案可指定以下作業的授權給使用者或群組：

• 連線至代理程式

• 存取目標：為任何給定目標或所有目標建立用戶、產生器或佇列瀏覽器

• 自動建立目標

設定代理程式特性，以指定下列資訊：

• 是否已啟用存取控制

• 存取控制檔案名稱

• 密碼應該如何編碼

• 系統應等候用戶端回應來自代理程式的認證請求的時間

• 安全連線所需的資訊

加密

若要加密在用戶端與代理程式之間傳送的訊息，您需要使用基於安全傳輸層 (SSL) 標準的連線服務。透過在已啟用 SSL 的代理程式與已啟用 SSL 的用戶端之間建立已加密連接，SSL 可提供連接級別的安全性。

您可以設定代理程式特性，以指定要使用的 SSL 金鑰庫安全性特性，以及密碼檔案的名稱和位置。