WebSphere MQ 安全性炙手可热

核心提示： 总之，必需在接收到队列管理器时在本地执行身份验证，WebSphere MQ 安全性炙手可热(4)，如果 SSL 通道是身份验证的基础，则必须使用出口将 SSL 证书标识绑定到 MCAUSER，有一个可以信任和执行的 ID 要比拥有大量不能信任和执行的 ID 要好得多，在准备好实现真正的身份验证模

总之，必需在接收到队列管理器时在本地执行身份验证。如果 SSL 通道是身份验证的基础，则必须使用出口将 SSL 证书标识绑定到 MCAUSER，以便向 API 调用应用访问策略。基于密码的身份验证也需要出口。或者，WebSphere MQ Extended Security Edition 可以用于签署各个消息，并执行端到端访问策略。

战术性修复

但我现在就需要修复！

我进行过很多安全评估，我必须向公司报告他们允许通过不安全通道对其消息传递系统进行匿名管理访问。自然地，他们都迫不及待地想堵上这个漏洞，但跨整个消息传递网络部署出口可能是非常艰巨的任务，而出口仅仅是开始而已。在访问从来没有得到安全保护的地方，经常会发现很多应用程序和用户使用管理权限连接。锁定通道将导致所有这些用户无法访问。后续工作可能会很麻烦，需要断开所有应用程序的访问，逐个队列确定所需的实际权限，然后修复问题。由于这些原因，经常有人问我是否有这样的选项：可以有效锁定管理访问但对应用程序或用户的影响极小，不需要出口或 SSL 而且可以尽可能快部署。

让人高兴的是，答案是“有！”您可以将 MCAUSER 硬编码在通道定义中，并在其中提供能够访问所有 WebSphere MQ 资源（管理资源除外）的用户 ID。但注意这是有代价的。通过缺省设置，您能够为不同的用户授予不同权限，如果用户尝试进入彼此的队列，用户将收到授权错误。但是没有身份验证，任何用户都可以冒充管理员。硬编码 MCAUSER 时，可以锁定管理访问权限，但失去了区分每个用户的能力。不会再有授权错误。我认为，有一个可以信任和执行的 ID 要比拥有大量不能信任和执行的 ID 要好得多。在准备好实现真正的身份验证模式之前，这是一个很好的折衷办法。