WebSphere MQ 安全性炙手可热

核心提示： 准备工作开始锁定通道前，将有必要提供两个每个队列管理器都可以访问的专用用户 ID 和组，WebSphere MQ 安全性炙手可热(5)，对于本文，我将假定使用的是用户 ID 和组名称可以完全相同的 UNIX 环境，这将应用于队列管理器上的所有非缺省通道，（您的缺省通道应该早就设置为 MCAUSE

准备工作

开始锁定通道前，将有必要提供两个每个队列管理器都可以访问的专用用户 ID 和组。对于本文，我将假定使用的是用户 ID 和组名称可以完全相同的 UNIX 环境。这些应该是标准应用程序服务帐户；我这里所指的是不由任何其他应用程序或用户共享的非登录帐户。每个组中应该有且仅有一个 ID。每个 ID 应该为一个且仅一个组的成员。一个 ID 和组用于 MCA 通道，另一个用于 MQI 通道，因此我们可以将其命名为 mqmmca:mqmmca 和 mqmmqi:mqmmqi。

MCA 通道

用于将队列管理器连接到另一个队列管理器的通道称为 MCA 通道，因为它们使用消息通道代理。入站 MCA 通道可以为接收方、请求方或集群接收方。如果仔细阅读一下系统管理手册，可能会注意到 runmqsc 和 WMQ Explorer 之类的工具可以使用一个队列管理器作为代理来通过 MCA 通道管理其他队列管理器。这就意味着，在缺省配置中，任何队列管理器都可以由任何相邻的队列管理器进行管理。

显然，如果您希望限制管理访问权限，您需要考虑 MCA 通道。以下是 setmqaut 命令的脚本，此脚本阻止了 MCA 通道上的管理访问权限。这将应用于队列管理器上的所有非缺省通道。（您的缺省通道应该早就设置为 MCAUSER('nobody')，但本文将不对本文予以讨论。）

#　Allow　MCAUSER　to　connect.　Needs　+set　and　+setall　per　IBM　docs.　
setmqaut　-m　QMGR　-g　mqmmca　-t　qmgr　-all　+connect　+inq　+set　+setall　
　
#　Grant　MCAUSER　default　policy　of　"allow　all"　to　all　queues.　Channels　
#　put　messages　so　no　need　for　get,　browse,　etc.　Also　needs　+setall.　
setmqaut　-m　QMGR　-g　mqmmca　-n　'**'　-t　queue　-all　+put　+setall　
　
#　Now　deny　access　to　administrative　queues　
setmqaut　-m　QMGR　-g　mqmmca　-n　SYSTEM.ADMIN.COMMAND.QUEUE　-t　queue　-all　+none　
setmqaut　-m　QMGR　-g　mqmmca　-n　SYSTEM.DEFAULT.INITIATION.QUEUE　-t　queue　-all　+none　
　
#　Restrict　access　to　any　additional　initiation　queues　as　well.