WebSphere MQ 安全性炙手可热

核心提示： 需要注意的一些事项：上面所示的 setmqaut 命令将允许用户进行之前可以进行的几乎所有操作，但管理命令和 SYSTEM.* 队列上的更新类型命令除外，WebSphere MQ 安全性炙手可热(7)，不过请注意，仅允许 mqm 组的用户对 SYSTEM.AUTH.DATA.QUEUE 进行查询

需要注意的一些事项：

上面所示的 setmqaut 命令将允许用户进行之前可以进行的几乎所有操作，但管理命令和 SYSTEM.* 队列上的更新类型命令除外。不过请注意，仅允许 mqm 组的用户对 SYSTEM.AUTH.DATA.QUEUE 进行查询。这对大多数应用程序而言不是问题，但会在远程运行时导致 saveqmgr (MS03 SupportPac) 失败。

对于脚本命令，通配符参数应始终用引号括起来。如果没有这样处理，Shell 将尝试使用当前目录中的文件名对其进行扩展。如果没有匹配的文件名，命令将传入并按预期的方式工作。如果仅找到了一个匹配文件名，会将此文件名替换为队列名称，setmqaut 命令将执行并失败，但不会有任何提示。如果找到两个或更多匹配文件名，setmqaut 命令将直接失败。这可能会影响调试工作，因为授权脚本可能在某一天正常工作，而在第二天失败，但脚本本身却没有发生任何变化。

在上面列出的每个 setmqaut 命令中，权限始终在最开始时为 –all，因为后续命令以追加方式处理。使用 +dsp 运行一次 setmqaut，然后再使用 +inq 运行一次，所得到的权限为 +dsp +inq。从 -all 开始可以确保列出的权限仅为命令行执行之后的权限。确保不会出现不希望的权限设置的唯一其他方法是进行转储并与您的脚本进行比较。-all 可避免这个额外的步骤。

致力于提高安全性

您已经了解如何在不能直接采用 SSL 或通道安全出口之类的强身份验证方法时锁定管理访问权限。以这种方式锁定管理访问权限的代价是，通道将使用单个用户 ID 和组对所有消息进行授权。此方法仅适合在能够实现有意义的身份验证之前作为有限使用的解决办法使用。我们强烈建议实现此配置的任何人将其作为长期计划的第一阶段，以最终实现远程连接的强身份验证机制。