test

Sun Java System Message Queue 3.7 UR1 管理指南

將 LDAP 伺服器用於使用者儲存庫

若要將 LDAP 伺服器用於使用者儲存庫,請執行下列工作:

編輯實例配置檔案

若要代理程式使用目錄伺服器者,請在代理程式實例配置檔案 config.properties 中設定一些特性值。當使用者嘗試連線至代理程式實例或執行訊息傳送作業時,這些特性可讓代理程式實例查詢 LDAP 伺服器,以取得使用者和群組的相關資訊。

實例配置檔案位於代理程式實例目錄下的目錄中。路徑格式如下:

/instances/instanceName

/props/config.properties

如需作業系統專用的實例目錄位置之詳細資訊,請參閱附錄 AMessage QueueTM 資料的特定平台位置

Procedure編輯配置檔案以使用 LDAP 伺服器

  1. 透過設定以下特性,以指定您要使用 LDAP 使用者儲存庫:


    imq.authentication.basic.user_repository=ldap

  2. 設定 imq.authentication.type 特性,以確定密碼應以 Base64 編碼 (basic) 還是以 MD5 編碼 (digest),從用戶端傳送至代理程式。將 LDAP 目錄伺服器用於使用者儲存庫時,您必須將認證類型設定為 basic。例如:


    imq.authentication.type=basic

  3. 您還必須設定可控制 LDAP 存取的代理程式特性。這些特性儲存在代理程式的實例配置檔案中。安全性服務中討論這些特性,安全性特性中也有摘要。

    Message Queue 使用 JNDI API 與 LDAP 目錄伺服器通訊。如需這些特性中所參考之語法和專有名詞的更多資訊,請參閱 JNDI 文件。Message Queue 使用 Sun JNDI LDAP 提供者和簡單認證。

    Message Queue 支援 LDAP 認證容錯移轉:您可以指定在進行認證時嘗試使用的 LDAP 目錄伺服器之清單 (請參閱 imq.user.repos.ldap.server 特性的參考資訊)。

    如需 LDAP 使用者儲存庫相關特性的設定範例,請參閱代理程式的 config.properties 檔案。

  4. 如有必要,您需要編輯存取控制特性檔案中的使用者/群組和規則。如需使用存取控制特性檔案的更多資訊,請參閱使用者授權:存取控制特性檔案

  5. 如果在連線認證和群組搜尋期間,您要讓代理程式透過 SSL 與 LDAP 目錄伺服器通訊,則需要啟動 LDAP 伺服器中的 SSL,然後在代理程式配置檔案中設定以下特性:

    • 指定 LDAP 伺服器用於 SSL 通訊的連接埠。例如:


      imq.user_repository.ldap.server=myhost:7878

    • 將代理程式特性 imq.user_repository.ldap.ssl.enabled 設為 true

      部署多台 LDAP 目錄伺服器時,請使用 ldap:// 指定其他每一台目錄伺服器。例如:

      imq.user_repository.ldap.server = myHost:7878 ldap:// otherHost:7878

      以空格分隔每一台目錄伺服器。清單中的所有目錄伺服器必須使用相同的值,以供其他與 LDAP 相關的特性使用。

設定管理員的存取控制

若要建立管理使用者,您可以使用存取控制特性檔案,指定可以建立 ADMIN 連線的使用者和群組。這些使用者和群組必須預先在 LDAP 目錄中定義。

任何使用者或群組只要能夠建立 ADMIN 連線,即可下達管理指令。

Procedure設定管理使用者

  1. 將代理程式特性 imq.accesscontrol.enabled 設定為 true 預設值,啟用存取控制檔案。

    imq.accesscontrol.enabled 特性可以啟用存取控制檔案。

  2. 開啟存取控制檔案 accesscontrol.properties附錄 AMessage QueueTM 資料的特定平台位置 中會列出此檔案的位置。

    此檔案包含一個項目,如下所示:

    service connection access control##################################connection.NORMAL.allow.user=*connection.ADMIN.allow.group=admin

    列出的項目僅為範例。請注意檔案式使用者儲存庫中有 admin 群組,但是依預設,LDAP 目錄中沒有此群組。您必須將 LDAP 目錄中已定義的群組名稱,替換為要授予 Message Queue 管理員權限的群組名稱。

  3. 若要將 Message Queue 管理員權限授予使用者,請如下所示,輸入使用者名稱:

    connection.ADMIN.allow.user= userName[[,userName2] ]

  4. 若要將 Message Queue 管理員權限授予群組,請如下所示,輸入群組名稱:

    connection.ADMIN.allow.group= groupName[[,groupName2] ]