Für die Sicherung der Integrationsschnittstelle für externe Scheduler müssen die Systemanwendung
"JobSchedulerMDI" und die von dieser Anwendung verwendeten JMS-Ressourcen gesichert werden.
Informationen zu dieser Task
In der folgenden Abbildung werden die erforderlichen Aktionen und die von diesen Aktionen betroffenen
Umgebungsartefakte gezeigt:

In den folgenden
Schritten wird gezeigt, wie Sie die Integrationsschnittstelle für externe Scheduler sichern:
Prozedur
-
Aktivieren Sie die Bussicherheit.
Aktivieren Sie die Sicherheit für "JobSchedulerBus" in der WebSphere-Administrationskonsole:
-
Klicken Sie auf Sicherheit > Bussicherheit > Busname.
-
Wählen Sie das Markierungsfeld Bussicherheit aktivieren aus.
-
Klicken Sie auf OK, und speichern Sie anschließend Ihre Konfiguration.
-
Definieren Sie einen JAAS-Aliasnamen.
Die JMS-Aktivierungsspezifikation der Anwendung "JobSchedulerMDI" erfordert einen JAAS-Aliasnamen.
Verwenden Sie einen JAAS-Aliasnamen Ihrer Wahl. Die Kombination aus Benutzer-ID und Kennwort, die für diesen Aliasnamen
definiert wird, stellt den Zugriff des Job-Schedulers auf seine eingehende JMS-Warteschlange "com.ibm.ws.grid.InputQueue" dar.
Der JAAS-Aliasname wird von der Anwendung "JobSchedulerMDI" auch über das Programm für die
Authentifizierung bei der abgehenden Warteschlange verwendet, die der Job-Scheduler verwendet, um mit seinen Clients
zu kommunizieren. Die abgehende Warteschlange ist "com.ibm.ws.grid.OutputQueue". Definieren Sie den
JAAS-Aliasnamen in der WebSphere-Administrationskonsole:
-
Wählen Sie Sicherheit > Sichere Verwaltung, Anwendungen und Infrastruktur
> Java Authentication and Authorization Server > J2C-Authentifizierungsdaten aus.
-
Speichern Sie Ihre Konfiguration.
-
Ordnen Sie den JAAS-Aliasnamen der Aktivierungsspezifikation "com.ibm.ws.grid.ActivationSpec" zu.
-
Ordnen Sie Rollen zu.
Es müssen Rollen zugeordnet werden, um den Zugriff auf den Bus und Eingabe- und Ausgabe-Destinations des Busses zu berechtigen.
Diese Rollenzuordnungen können in der WebSphere-Administrationskonsole vorgenommen werden:
Sicherheit > Bussicherheit
> Busname > Inaktiviert > Benutzer und Gruppen in der Rolle 'Bus-Connector'.
Sie können hierfür auch wsadmin-Befehle verwenden:
$AdminTask
addUserToBusConnectorRole {-bus Busname -user Benutzername} or
$AdminTask
addGroupToBusConnectorRole {-bus Busname –group Gruppenname}
Die folgenden Rollenzuordnungen müssen vorgenommen werden:
-
JobSchedulerBus
Ordnet die Rolle "BusConnector" den folgenden Benutzer-IDs zu:
- ID, die "com.ibm.ws.grid.ActivationSpec" zugeordnet ist. Damit kann der Job-Scheduler auf den Bus zugreifen.
- Alle von WSGrid verwendeten IDs für die Authentifizierung des Clientzugriffs auf die Eingabewarteschlange
(siehe Schritt 4). Damit kann der Aufrufer von WSGrid auf den Bus zugreifen.
-
com.ibm.ws.grid.InputQueue
Erlaubt den Zugriff auf diese Destination, indem die
Rollen "Sender", "Receiver" und "Browser" denselben Benutzer-IDs zugeordnet werden, denen im vorherigen
Schritt auch die Rolle "BusConnector" zugeordnet wurde.
Diese Aktion kann nur über wsadmin-Befehle ausgeführt werden:
$AdminTask addUserToDestinationRole {-type queue –bus
JobSchedulerBus -destination com.ibm.ws.grid.InputQueue -role Sender -user Benutzername}
$AdminTask addGroupToDestinationRole {-type queue –bus
JobSchedulerBus -destination com.ibm.ws.grid.InputQueue -role Sender –group Gruppenname}
AdminTask.setInheritDefaultsForDestination('-bus WSS.JobScheduler.Bus -type queue -destination com.ibm.ws.grid.InputQueue -inherit false'
Wiederholen Sie den Vorgang für die Rollen "Receiver" und "Browser".
-
com.ibm.ws.grid.OutputQueue
Erlaubt den Zugriff auf diese Destination, indem dieselben Rollen, die im vorherigen Schritt für
"com.ibm.ws.grid.InputQueue" zugeordnet wurden, der Destination "com.ibm.ws.grid.OutputQueue" werden.
-
Authentifizieren den Clientzugriff auf die Eingabewarteschlange.
Geben Sie in der Eigenschaftendatei für die WSGrid-Eingabesteuerung Benutzer-ID und Kennwort an, z. B.
submitter-userid=Benutzername, submitter-password=Kennwort.
Das Kennwort kann mit dem WebSphere-Dienstprogramm "PropFilePasswordEncoder" verschlüsselt werden.