【问题标题】:Web Sphere 7.5 Add userWebsphere 7.5 添加用户
【发布时间】:2015-08-10 16:08:24
【问题描述】:

如何在 WebSphere 7.5 MQ Explorer 中将新用户添加到我的队列? 我有 90 天试用版,但没有管理员控制台:/ 我不知道为什么...

我想连接到放置在我的服务器上的队列,但我无法连接到管理员帐户。

【问题讨论】:

    标签: ibm-mq mq


    【解决方案1】:

    MQ Explorer 不允许对 O/S 进行更改,因此您必须先通过其他方式在 O/S 中创建用户。

    但是,如果您的用户 ID 存在,那么您可以使用 MQ Explorer 授予该用户访问队列的权限。在资源管理器中调出队列列表,然后右键单击要将用户添加到其权限的队列。选择对象权限 -> 管理权限记录...这将打开允许您将组或用户添加到队列的向导。

    您还需要允许该用户连接到我怀疑的队列管理器吗?

    【讨论】:

    • 我认为他的意思是他以管理员身份运行并且由于默认的CHLAUTH 规则而无法连接到 QMgr。我会解决的。
    【解决方案2】:

    首先,获取产品名称为MQ Advanced for Developers 的非过期版本。在撰写本文时,它在 v7.5 和 v8.0 中可用,并且是免费的。如果您需要支持,IBM 会让您为此向他们投钱,但功能齐全且不会过期的产品是免费的。

    MQ 现在默认安全发货。当您第一次创建队列管理器时,它会拒绝客户端通道上的管理连接。它将允许通过SYSTEM.ADMIN.SVRCONN 的非管理员频道,除非您明确授权他们,否则非管理员对 QMgr 没有任何权限。

    (从 v8.0 开始,QMgr 也默认设置为需要 ID 和密码,但在 MQ v7.5 中您不必担心这一点。)

    如果您使用的是 Linux 或 Windows QMgr,并且可以在安装 QMgr 的主机上启动 MQ Explorer,请使用绑定模式而不是通道连接到 QMgr。如果您使用的是管理用户 ID(一个在 mqm 组中,或者在 Windows 上也是 Administrators 组),那么绑定模式将起作用。

    如果您必须通过客户端通道进行连接,则需要设置 MQ 以允许您的管理连接和/或低权限用户连接。您可以通过禁用 CHLAUTH 规则来做到这一点,但这种方法强烈不鼓励。了解 MQ 安全性的工作原理比禁用它要好得多。

    您还可以定义允许连接的新CHLAUTH 规则。默认的CHLAUTH 规则如下所示:

    dis CHLAUTH(*) all
         1 : dis CHLAUTH(*) all
    AMQ8878: Display channel authentication record details.
       CHLAUTH(*)                              TYPE(BLOCKUSER)
       DESCR(Default rule to disallow privileged users)
       CUSTOM( )                               USERLIST(*MQADMIN)
       WARN(NO)                                ALTDATE(2015-05-28)
       ALTTIME(15.10.02)
    AMQ8878: Display channel authentication record details.
       CHLAUTH(SYSTEM.ADMIN.SVRCONN)           TYPE(ADDRESSMAP)
       DESCR(Default rule to allow MQ Explorer access)
       CUSTOM( )                               ADDRESS(*)
       USERSRC(CHANNEL)                        CHCKCLNT(ASQMGR)
       ALTDATE(2015-05-28)                     ALTTIME(15.10.02)
    AMQ8878: Display channel authentication record details.
       CHLAUTH(SYSTEM.*)                       TYPE(ADDRESSMAP)
       DESCR(Default rule to disable all SYSTEM channels)
       CUSTOM( )                               ADDRESS(*)
       USERSRC(NOACCESS)                       WARN(NO)
       ALTDATE(2015-05-28)                     ALTTIME(15.10.02)
    

    请注意,第一条规则说要阻止任何频道上的管理员用户。您可以添加一条新规则,表示在您希望用于管理员的频道上阻止某些非管理员用户。

    runmqsc MYQMGRNAME
    
    DEFINE CHL(MY.ADMIN.SVRCONN) CHLTYPE(SVRCONN) MCAUSER('*NOACCESS') REPLACE
    DEFINE CHLAUTH(MY.ADMIN.SVRCONN) TYPE(ADDRESSMAP) ADDRESS(127.0.0.1) USERSRC(CHANNEL)
    DEFINE CHLAUTH(MY.ADMIN.SVRCONN) TYPE(BLOCKUSER) USERLIST('*NOBODY')
    

    DEF CHL 命令为管理员定义了一个新通道,并将MCAUSER 设置为确保该通道不会启动的值。

    第一个CHLAUTH 规则告诉MQ 用连接请求中的MCAUSER 替换错误的MCAUSER,前提是该请求来自127.0.0.1 并且仅用于MY.ADMIN.SVRCONN。在此处填写您自己的 IP 地址。最好使用证书而不是 IP 地址来验证连接。

    第二个CHLAUTH 规则有点棘手。没有“允许用户”规则,所以我们必须使用TYPE(BLOCKUSER) 类型的规则。但是当我们阻止用户时,我们必须提供他们的非空列表。我们需要的是一个CHLAUTH 规则,其中频道名称比默认的更具体并且 具有USERLIST > 包含 *MQADMIN 或您的实际用户 ID。我在这里使用*NOBODY,因为它的意图很明显是不阻止任何人,并且该值永远不能是实际的用户 ID。

    定义仅供管理员使用的频道被认为是最佳实践。不是基于 IP 地址或主机名对管理员进行身份验证。一旦您与您的管理员 ID 建立连接并配置您的 QMgr,请考虑充分了解 MQ 证书以对管理员连接进行强身份验证。和/或转到可以使用密码登录的 V8.0 QMgr 和客户端。

    【讨论】:

      猜你喜欢
      • 2013-07-21
      • 2011-07-04
      • 1970-01-01
      • 2011-10-10
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      相关资源
      最近更新 更多