【发布时间】:2015-08-10 16:08:24
【问题描述】:
如何在 WebSphere 7.5 MQ Explorer 中将新用户添加到我的队列? 我有 90 天试用版,但没有管理员控制台:/ 我不知道为什么...
我想连接到放置在我的服务器上的队列,但我无法连接到管理员帐户。
【问题讨论】:
如何在 WebSphere 7.5 MQ Explorer 中将新用户添加到我的队列? 我有 90 天试用版,但没有管理员控制台:/ 我不知道为什么...
我想连接到放置在我的服务器上的队列,但我无法连接到管理员帐户。
【问题讨论】:
MQ Explorer 不允许对 O/S 进行更改,因此您必须先通过其他方式在 O/S 中创建用户。
但是,如果您的用户 ID 存在,那么您可以使用 MQ Explorer 授予该用户访问队列的权限。在资源管理器中调出队列列表,然后右键单击要将用户添加到其权限的队列。选择对象权限 -> 管理权限记录...这将打开允许您将组或用户添加到队列的向导。
您还需要允许该用户连接到我怀疑的队列管理器吗?
【讨论】:
CHLAUTH 规则而无法连接到 QMgr。我会解决的。
首先,获取产品名称为MQ Advanced for Developers 的非过期版本。在撰写本文时,它在 v7.5 和 v8.0 中可用,并且是免费的。如果您需要支持,IBM 会让您为此向他们投钱,但功能齐全且不会过期的产品是免费的。
MQ 现在默认安全发货。当您第一次创建队列管理器时,它会拒绝客户端通道上的管理连接。它将允许通过SYSTEM.ADMIN.SVRCONN 的非管理员频道,除非您明确授权他们,否则非管理员对 QMgr 没有任何权限。
(从 v8.0 开始,QMgr 也默认设置为需要 ID 和密码,但在 MQ v7.5 中您不必担心这一点。)
如果您使用的是 Linux 或 Windows QMgr,并且可以在安装 QMgr 的主机上启动 MQ Explorer,请使用绑定模式而不是通道连接到 QMgr。如果您使用的是管理用户 ID(一个在 mqm 组中,或者在 Windows 上也是 Administrators 组),那么绑定模式将起作用。
如果您必须通过客户端通道进行连接,则需要设置 MQ 以允许您的管理连接和/或低权限用户连接。您可以通过禁用 CHLAUTH 规则来做到这一点,但这种方法强烈不鼓励。了解 MQ 安全性的工作原理比禁用它要好得多。
您还可以定义允许连接的新CHLAUTH 规则。默认的CHLAUTH 规则如下所示:
dis CHLAUTH(*) all
1 : dis CHLAUTH(*) all
AMQ8878: Display channel authentication record details.
CHLAUTH(*) TYPE(BLOCKUSER)
DESCR(Default rule to disallow privileged users)
CUSTOM( ) USERLIST(*MQADMIN)
WARN(NO) ALTDATE(2015-05-28)
ALTTIME(15.10.02)
AMQ8878: Display channel authentication record details.
CHLAUTH(SYSTEM.ADMIN.SVRCONN) TYPE(ADDRESSMAP)
DESCR(Default rule to allow MQ Explorer access)
CUSTOM( ) ADDRESS(*)
USERSRC(CHANNEL) CHCKCLNT(ASQMGR)
ALTDATE(2015-05-28) ALTTIME(15.10.02)
AMQ8878: Display channel authentication record details.
CHLAUTH(SYSTEM.*) TYPE(ADDRESSMAP)
DESCR(Default rule to disable all SYSTEM channels)
CUSTOM( ) ADDRESS(*)
USERSRC(NOACCESS) WARN(NO)
ALTDATE(2015-05-28) ALTTIME(15.10.02)
请注意,第一条规则说要阻止任何频道上的管理员用户。您可以添加一条新规则,表示在您希望用于管理员的频道上阻止某些非管理员用户。
runmqsc MYQMGRNAME
DEFINE CHL(MY.ADMIN.SVRCONN) CHLTYPE(SVRCONN) MCAUSER('*NOACCESS') REPLACE
DEFINE CHLAUTH(MY.ADMIN.SVRCONN) TYPE(ADDRESSMAP) ADDRESS(127.0.0.1) USERSRC(CHANNEL)
DEFINE CHLAUTH(MY.ADMIN.SVRCONN) TYPE(BLOCKUSER) USERLIST('*NOBODY')
DEF CHL 命令为管理员定义了一个新通道,并将MCAUSER 设置为确保该通道不会启动的值。
第一个CHLAUTH 规则告诉MQ 用连接请求中的MCAUSER 替换错误的MCAUSER,前提是该请求来自127.0.0.1 并且仅用于MY.ADMIN.SVRCONN。在此处填写您自己的 IP 地址。最好使用证书而不是 IP 地址来验证连接。
第二个CHLAUTH 规则有点棘手。没有“允许用户”规则,所以我们必须使用TYPE(BLOCKUSER) 类型的规则。但是当我们阻止用户时,我们必须提供他们的非空列表。我们需要的是一个CHLAUTH 规则,其中频道名称比默认的更具体并且 具有USERLIST 值不 > 包含 *MQADMIN 或您的实际用户 ID。我在这里使用*NOBODY,因为它的意图很明显是不阻止任何人,并且该值永远不能是实际的用户 ID。
定义仅供管理员使用的频道被认为是最佳实践。不是基于 IP 地址或主机名对管理员进行身份验证。一旦您与您的管理员 ID 建立连接并配置您的 QMgr,请考虑充分了解 MQ 证书以对管理员连接进行强身份验证。和/或转到可以使用密码登录的 V8.0 QMgr 和客户端。
【讨论】: