WebSphere MQ 安全性炙手可热
2009-09-28 00:00:00 来源:WEB开发网准备工作
开始锁定通道前,将有必要提供两个每个队列管理器都可以访问的专用用户 ID 和组。对于本文,我将假定使用的是用户 ID 和组名称可以完全相同的 UNIX 环境。这些应该是标准应用程序服务帐户;我这里所指的是不由任何其他应用程序或用户共享的非登录帐户。每个组中应该有且仅有一个 ID。每个 ID 应该为一个且仅一个组的成员。一个 ID 和组用于 MCA 通道,另一个用于 MQI 通道,因此我们可以将其命名为 mqmmca:mqmmca 和 mqmmqi:mqmmqi。
MCA 通道
用于将队列管理器连接到另一个队列管理器的通道称为 MCA 通道,因为它们使用消息通道代理。入站 MCA 通道可以为接收方、请求方或集群接收方。如果仔细阅读一下系统管理手册,可能会注意到 runmqsc 和 WMQ Explorer 之类的工具可以使用一个队列管理器作为代理来通过 MCA 通道管理其他队列管理器。这就意味着,在缺省配置中,任何队列管理器都可以由任何相邻的队列管理器进行管理。
显然,如果您希望限制管理访问权限,您需要考虑 MCA 通道。以下是 setmqaut 命令的脚本,此脚本阻止了 MCA 通道上的管理访问权限。这将应用于队列管理器上的所有非缺省通道。(您的缺省通道应该早就设置为 MCAUSER('nobody'),但本文将不对本文予以讨论。)
# Allow MCAUSER to connect. Needs +set and +setall per IBM docs.
setmqaut -m QMGR -g mqmmca -t qmgr -all +connect +inq +set +setall
# Grant MCAUSER default policy of "allow all" to all queues. Channels
# put messages so no need for get, browse, etc. Also needs +setall.
setmqaut -m QMGR -g mqmmca -n '**' -t queue -all +put +setall
# Now deny access to administrative queues
setmqaut -m QMGR -g mqmmca -n SYSTEM.ADMIN.COMMAND.QUEUE -t queue -all +none
setmqaut -m QMGR -g mqmmca -n SYSTEM.DEFAULT.INITIATION.QUEUE -t queue -all +none
# Restrict access to any additional initiation queues as well.
- ››WebSphere 反向投资者: 解决 WebSphere Applicati...
- ››WebSphere sMash 的创新应用,第 2 部分: 借助包装...
- ››Websphere MQ v6集群的负载均衡新功能
- ››WebSphere Process Server V6.0.2 集群,第 2 部分...
- ››WebSphere Process Server V6.0.2 集群,第 1 部分...
- ››WebSphere MQ性能调优浅谈
- ››WebSphere配置资源库管理
- ››WebSphere中的SSL/TLS:用法、配置和性能
- ››websphere ejb远程/本地调用总结
- ››WebSphere Application Server对SIP的支持
- ››WebSphere Process Server V6 体系结构概述
- ››WebSphere Business Process Management V6.1 入门...
赞助商链接