Seguridad con websphere

Todo lo relacionado con la web desde un mainframe,conectividad,J2EE
Responder
muvi

Seguridad con websphere

Mensaje por muvi » 13 Abr 2012, 04:41

Hola,

Me gustaría saber si existe alguna configuración o plugin del websphere mq explorer, que, unicamente permita conectarse a un gestor de colas a unos usuarios privilegiados (mediante un user / password).

Quiero saber esto a nivel de conexión con el gestor de colas, no a nivel de intercambio de datos entre gestores

Avatar de Usuario
LuisFer
Colaborador Senior
Colaborador Senior
Mensajes: 368
Registrado: 27 May 2006, 16:06
País: España
Ciudad: Madrid
Ocupación: IT Specialist

Re: Seguridad con websphere

Mensaje por LuisFer » 14 Abr 2012, 06:11

Desconozco si existe algún desarrollo de ese tipo para el MQExplorer (tipo Support Pac) pero, si yo fueses el Administrador de MQ tendría protegida la conectividad del Gestor de Colas destino mediante una EXIT de seguridad en la definición del canal SVRCONN que se utilice.

Saludos
No me sigas, puedo no guiarte, no vayas delante , puedo no seguirte, caminemos juntos y sé simplemente, mi amigo.

muvi

Re: Seguridad con websphere

Mensaje por muvi » 16 Abr 2012, 04:40

pero una security exits, es a nivel de datos. Implementa una seguridad a nivel de datos, pero no a nivel de conexión con el gestor de colas ¿cierto?

Avatar de Usuario
LuisFer
Colaborador Senior
Colaborador Senior
Mensajes: 368
Registrado: 27 May 2006, 16:06
País: España
Ciudad: Madrid
Ocupación: IT Specialist

Re: Seguridad con websphere

Mensaje por LuisFer » 16 Abr 2012, 05:50

No, la SCYEXIT es a nivel de establecimiento de conexión.

http://publib.boulder.ibm.com/infocente ... 17470_.htm
No me sigas, puedo no guiarte, no vayas delante , puedo no seguirte, caminemos juntos y sé simplemente, mi amigo.

muvi

Re: Seguridad con websphere

Mensaje por muvi » 16 Abr 2012, 06:44

Quizás no me he enterado bien de la SCYEXIT o no me he explicado con claridad.

Lo que me gustaría es tener una seguridad con la conexión al gestor de cola. Que solo unos usuarios determinados (llamemosle, a modo de jemplo, usuario A) se puedan conectar.

Tengo que autentificar que solo sean estos y que nadie intente suplantarlos (aún sabiendo el nombre de A). Es por ello, por lo que pensaba en utilizar una contraseña personal

Identificando el campo MCAUSER del canal SVRCONN, se puede suplantar la identidad del usuario A, simplemente creando una sesion con su nombre.

Avatar de Usuario
LuisFer
Colaborador Senior
Colaborador Senior
Mensajes: 368
Registrado: 27 May 2006, 16:06
País: España
Ciudad: Madrid
Ocupación: IT Specialist

Re: Seguridad con websphere

Mensaje por LuisFer » 16 Abr 2012, 10:49

Desde la SCYEXIT puedes autenticar y autentificar usuarios. La SCYEXIT no trata "datos" (mensajes), entra en el establecimiento de la conexión (MQCONN(x)), no en el resto de APIs (MQOPEN/MQPUT/MQGET/....).
Nosotros utilizamos una exit para el permitir/denegar el acceso de usuarios validando contra RACF usuario/contraseña y si dicho usuario tiene permitido el acceso.
En el distribuido lo realizamos con la misma exit solo que utilizando una Tx IMS (siempre contra RACF).
Puedes usar otros métodos, una lista plana, el SAF de cada plataforma, LDAP.....
Si pones un usuario en la MCAUSER tendrías un verdadero "agujero" de seguridad ya que cualquiera que se conectase a ese SVRCONN lo haría con los privilegios del usuario que contenga .
Saludos
No me sigas, puedo no guiarte, no vayas delante , puedo no seguirte, caminemos juntos y sé simplemente, mi amigo.

muvi

Re: Seguridad con websphere

Mensaje por muvi » 16 Abr 2012, 11:06

¿Como lo haces LuisFer? ¿como se puede validar el usuario / contraseña?

muvi

Re: Seguridad con websphere

Mensaje por muvi » 16 Abr 2012, 12:11

Para hacer SCYEXIT ¿Se haría sobre el canal SRVCONN?

Los datos que tendría que implementar sería los siguientes, verdad?:

SCYEXIT('YES')
SCYDATA ('....')-- ¿Daria lo mismo usuario que grupo a validar?
SENDEXIT ('...') -- Aqui estaría el nombre del programa a ejecutar (¿podría ser un fichero que valide usuario / contraseña?)
RCVEXIT ()
RCVDATA()
SENDDATA()

Avatar de Usuario
LuisFer
Colaborador Senior
Colaborador Senior
Mensajes: 368
Registrado: 27 May 2006, 16:06
País: España
Ciudad: Madrid
Ocupación: IT Specialist

Re: Seguridad con websphere

Mensaje por LuisFer » 16 Abr 2012, 12:56

muvi escribió:¿Como lo haces LuisFer? ¿como se puede validar el usuario / contraseña?
Como decía mi estimado prejubilado Nacho, saco la varita y hago magia, :) no ahora en serio..
Las exits de seguridad trabajan "en pareja" es decir intercambian información en el llamado "Mensaje de seguridad", necesitas una exit en el lado cliente y otra en el lado servidor. El manual de intercomunicación lo explica detalladamente.
Nosotros la codificación la hacemos única, el mismo fuente es multiplataforma (corre tanto en Z como en Windows,Unix, Tandem ....) y multientorno (cliente o servidor) por ello está desarrollada en C.
En el Z usamos una llamada a una SVC de usuario para hablar con RACF y que nos devuelva un Return Code para dejar establecida la conexión o cerrar el canal en caso contrario.
Esto mismo hacemos en los distribuidos solo que en lugar de llamar a la SVC utilizamos al IMS (mediante una Tx) como intermediario para acceder al RACF.
Existe software comercial que realiza esta funcionalidad (capitalware.biz me viene a la cabeza), pero tampoco es excesivamente complicado para un "mainframer" :D acostumbrado al HLASM.
En la pagina de IBM hay un support pac que podría valerte como ejemplo en http://www-01.ibm.com/support/docview.w ... wg24000090
También tienes una gran exit de código abierto como es la BlockIP http://www.mrmq.dk

Saludos
Última edición por LuisFer el 16 Abr 2012, 13:28, editado 3 veces en total.
No me sigas, puedo no guiarte, no vayas delante , puedo no seguirte, caminemos juntos y sé simplemente, mi amigo.

Avatar de Usuario
LuisFer
Colaborador Senior
Colaborador Senior
Mensajes: 368
Registrado: 27 May 2006, 16:06
País: España
Ciudad: Madrid
Ocupación: IT Specialist

Re: Seguridad con websphere

Mensaje por LuisFer » 16 Abr 2012, 13:01

muvi escribió:Para hacer SCYEXIT ¿Se haría sobre el canal SRVCONN?

Los datos que tendría que implementar sería los siguientes, verdad?:

SCYEXIT('YES')
SCYDATA ('....')-- ¿Daria lo mismo usuario que grupo a validar?
SENDEXIT ('...') -- Aqui estaría el nombre del programa a ejecutar (¿podría ser un fichero que valide usuario / contraseña?)
RCVEXIT ()
RCVDATA()
SENDDATA()
SCYEXIT('Nombre de la Exit(Funcion)')
SCYDATA('Parametros")

El resto es no tiene sentido para este caso...
No me sigas, puedo no guiarte, no vayas delante , puedo no seguirte, caminemos juntos y sé simplemente, mi amigo.

Responder