WEB开发网
开发学院网络安全安全技术 WebSphere MQ 安全性炙手可热 阅读

WebSphere MQ 安全性炙手可热

 2009-09-28 00:00:00 来源:WEB开发网   
核心提示: 准备工作开始锁定通道前,将有必要提供两个每个队列管理器都可以访问的专用用户 ID 和组,WebSphere MQ 安全性炙手可热(5),对于本文,我将假定使用的是用户 ID 和组名称可以完全相同的 UNIX 环境,这将应用于队列管理器上的所有非缺省通道,(您的缺省通道应该早就设置为 MCAUSE

准备工作

开始锁定通道前,将有必要提供两个每个队列管理器都可以访问的专用用户 ID 和组。对于本文,我将假定使用的是用户 ID 和组名称可以完全相同的 UNIX 环境。这些应该是标准应用程序服务帐户;我这里所指的是不由任何其他应用程序或用户共享的非登录帐户。每个组中应该有且仅有一个 ID。每个 ID 应该为一个且仅一个组的成员。一个 ID 和组用于 MCA 通道,另一个用于 MQI 通道,因此我们可以将其命名为 mqmmca:mqmmca 和 mqmmqi:mqmmqi。

MCA 通道

用于将队列管理器连接到另一个队列管理器的通道称为 MCA 通道,因为它们使用消息通道代理。入站 MCA 通道可以为接收方、请求方或集群接收方。如果仔细阅读一下系统管理手册,可能会注意到 runmqsc 和 WMQ Explorer 之类的工具可以使用一个队列管理器作为代理来通过 MCA 通道管理其他队列管理器。这就意味着,在缺省配置中,任何队列管理器都可以由任何相邻的队列管理器进行管理。

显然,如果您希望限制管理访问权限,您需要考虑 MCA 通道。以下是 setmqaut 命令的脚本,此脚本阻止了 MCA 通道上的管理访问权限。这将应用于队列管理器上的所有非缺省通道。(您的缺省通道应该早就设置为 MCAUSER('nobody'),但本文将不对本文予以讨论。)

# Allow MCAUSER to connect. Needs +set and +setall per IBM docs. 
setmqaut -m QMGR -g mqmmca -t qmgr -all +connect +inq +set +setall 
 
# Grant MCAUSER default policy of "allow all" to all queues. Channels 
# put messages so no need for get, browse, etc. Also needs +setall. 
setmqaut -m QMGR -g mqmmca -n '**' -t queue -all +put +setall 
 
# Now deny access to administrative queues 
setmqaut -m QMGR -g mqmmca -n SYSTEM.ADMIN.COMMAND.QUEUE -t queue -all +none 
setmqaut -m QMGR -g mqmmca -n SYSTEM.DEFAULT.INITIATION.QUEUE -t queue -all +none 
 
# Restrict access to any additional initiation queues as well.

上一页  1 2 3 4 5 6 7  下一页

Tags:WebSphere MQ 安全性

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接