关于我

<2020年4月>
2930311234
567891011
12131415161718
19202122232425
262728293012
3456789

最近来访

加入的俱乐部

留言簿(0)

文章分类

文章档案

相册


最新评论

1. re: 使用OpenSSL制作SSL證書
感谢,很有帮助--【匿名用户】:E-works热心网友 小雪
2. re: 使用OpenSSL制作SSL證書
受益匪浅,非常感谢~--【匿名用户】:E-works热心网友 落叶无边
3. re: 使用OpenSSL制作SSL證書
不错,很详细--【匿名用户】:E-works热心网友
4. re: EDI X12 SPEC从哪来?和大家讨论
--holger
5. re: EDI X12 SPEC从哪来?和大家讨论
根据业务需求分析得到--【匿名用户】:E-works热心网友
6. re: 【译】ANSI ASC X12标准学习指南
well&nbsp;done,i&nbsp;guess&nbsp;you&nbsp;worked&nbsp;in&nbsp;fox&nbsp;--【匿名用户】:E-works热心网友
7. re: 【译】ANSI ASC X12标准学习指南
概述很全面......--【匿名用户】:E-works热心网友
8. re: EDI SPEC从哪来?和大家讨论
您可以到Rosettanet官方网站看看有没有您想要的资料。--传奇

阅读排行榜

评论排行榜

原文:http://www.searchsoa.com.cn/showcontent_52265.htm

【TechTarget中国原创】TIBCO EMS是一款基于JMS标准的消息中间件产品,具有良好的扩展性、易用性和高效性,很多客户将其作为企业内部的消息总线,在企业应用集成平台架构中担任重 要的角色,因此,它的安全性也就显的非常重要,往往会影响到整个企业应用集成平台的运行。在默认情况下,TIBCO EMS对连接用户没有任何限制,即使没有用户名和密码,用户一样可以连接到消息服务器,并对服务器中的主题及队列进行操作。本文中,我们将一步步打造安全 的TIBCO EMS消息服务器。

1.启用用户认证

如下设置TIBCO EMS主配置文件tibemsd.conf中的认证选项:

authorization = enabled (默认为disabled)

或者在EMS管理工具中执行命令:

set server authorization=enabled

设置该选项后,用户连接TIBCO EMS服务器必须进行用户名和密码的验证,否则不能进行连接。

 

2.建立用户和组

与数据库的管理类似,TIBCO EMS服务器中也可以建立用户和用户组,以便我们将来使用不同的用户来管理不同的消息应用。

用户信息存储在users.conf,格式如下:

<user-name>:[password]:<description>

其中password会以加密数据方式存储在文件中。可以通过create user命令创建用户,例如:

create user orderuser 订单创建用户 password=orderuserpasswd

 

组信息存储在groups.conf,格式如下:

<group-name1>:[<description>]

  <user-name1>

  <user-name2>

     . . .

  <user-nameN>

可以通过create group命令创建组,例如:

Create group ordergroup 订单组

通过add member命令为组增加用户,例如:

Add member ordergroup orderuser

 

用户和用户组类似于数据库用户管理中的用户和角色的概念。

 

3.访问控制列表

通过访问控制列表(ACL)可以控制用户或用户组对EMS服务器中特定目的地(队列或主题)的访问权限。访问控制列表信息存储在acl.conf,格式如下:

TOPIC=<topic> USER=<user>   PERM=<permissions>

TOPIC=<topic> GROUP=<group>PERM=<permissions>

QUEUE=<queue> USER=<user>   PERM=<permissions>

QUEUE=<queue> GROUP=<group>PERM=<permissions>

通过上述访问控制信息将主题(TOPIC)或者队列(QUEUE)的权限分配给用户或者用户组。

其中主题(TOPIC)上的权限如下所示:

权限

权限名称

说明

subscribe

订阅

在主题上建立非持久化订阅的权限

publish

发布

向主题上发布消息的权限

durable

持久化

在主题上建立、删除或者修改持久化订阅的权限

use_durable

使用持久化

使用主题上已经存在的持久化订阅的权限,但是不能进行持久化订阅的创建、删除或修改

 

队列(QUEUE)上的权限如下所示:

权限

权限名称

说明

receive

接收

从队列上接收消息的权限

send

发送

向队列上发送消息的权限

browse

浏览

浏览队列上的消息的权限

 

通过设置主题和队列的访问控制列表,来阻止非法用户对目的地的非法访问,保证消息总线中信息传递的正确性。

 

4.启动目的地访问控制

为了使主题和队列的访问控制生效,需要激活目的地上的安全访问机制,即为主题和队列增加安全(secure)属性。可用如下命令为目的地增加安全属性:

addprop topic  <topic-name>  secure

addprop queue <queue-name>  secure

访问控制启用后,如果有无权限的用户试图对目的地进行操作,会产生javax.jms.JMSSecurityException: Not permitted异常。

 

通过上述步骤,即可实现TIBCO EMS的访问控制管理,为用户打造一个安全的信息总线环境。

 

应用案例

以我们客户的一个应用场景为例,我们为客户建立了用户主数据库,管理企业中的用户信息,企业内应用系统中的用户数据都从用户主数据库中获得,当用户 主数据库中的用户数据发生变化,变化的数据需要实时的更新到所有的应用系统中,保证各个系统内用户数据的统一性。这里,我们使用TIBCO EMS作为用户信息传输的消息总线,其中EMS的访问控制配置如下:

l  建立用户数据传输主题(TOPIC),并激活访问控制属性,运行命令如下:

createtopic topic.masterdata.user

addproptopic topic.masterdata.user secure

l  建立用户主数据发布用户,运行命令如下:

create user mduser 用户主数据发布用户 password=mduserpassw

l  建立用户主数据订阅用户组,包括财务、计划、生产、客服四个系统用户,运行命令如下:

create user financial 财务用户 password=financialpasswd

create user plan 计划用户 password=planpasswd

create user product 生产用户 password=productpasswd

create user service 客户用户 password=servicepasswd

create groupsubmdusers 订阅用户主数据用户组

add member submdusersfinancial

add member submdusers plan

add member submdusersproduct

add member submdusersservice

l  为用户主数据发布用户在主题上设置发布权限,运行命令如下:

grant topic topic.masterdata.useruser=mduser publish

l  为订阅用户主数据用户组在主题上设置持久化订阅权限,运行命令如下:

grant topictopic.masterdata.user group=submdusers durable

 

根据上述设置,只有用户主数据管理系统使用的mduser用户才能够向topic.masterdata.user主题发送消息;也只有财务、计 划、生产、客服四个系统使用的financial、plan、product和service用户才能从topic.masterdata.user主题 订阅用户数据信息。使用其他EMS用户对topic.masterdata.user主题进行操作均会出现权限不足异常。

发表于: 2014-05-25 12:13 阅读(937) 评论(0) 收藏 好文推荐

本博客所有内容,若无特殊声明,皆为博主原创作品,未经博主授权,任何人不得复制、转载、摘编等任何方式进行使用和传播。

作者该类其他博文:

发表评论(网友发言只代表个人观点,不代表本网站观点或立场。)

您尚未登录,请先【登录或注册