WebSphere MQ 安全性炙手可热
2009-09-28 00:00:00 来源:WEB开发网这当然是最小设置,仅仅限制管理访问权限。相邻的队列管理器仍然可以将消息放到 SYSTEM.* 队列和任意应用程序队列上,但这对信任队列管理器网络可能已经足够好了。
MQI 通道
一旦其他队列管理器的连接按照您的要求锁定后,您将需要考虑 MQI 通道。这些通过 SVRCONN 定义进行表示。希望您的 SYSTEM.DEF.SVRCONN 和 SYSTEM.AUTO.SVRCONN 已经设置而且未使用。如果不是这样,这些通道将需要接收此处所述的更新。无论您怎么做,都不要让这些通道保持没有 MCAUSER 集的情况。
我们还应该暂时停下来讨论一下 SYSTEM.ADMIN.SVRCONN。如果 WebSphere MQ 管理团队使用桌面客户端访问队列管理器,此处所建议的配置将阻止此访问。但在没有身份验证的情况下,如果让通道处于未受保护的状态,则任何人都可以拥有管理权限。这里有两个选项:以有限的方式仅仅为管理团队实现身份验证,或者要求管理员登录到服务器进行配置更改。为了简化此讨论,我们将假定采用后一种方法。不过,如果您首先准备考虑转向 SSL 和/或出口,则不会考虑此选项。
应用了更改后,SYSTEM.ADMIN.SVRCONN 将仍然可用,WebSphere MQ Explorer 之类的桌面工具一定程度上将仍然可以工作。用户将能够浏览、获取或发出消息、查询任意对象甚至还能够设置对象(例如,启用触发),但将不能够创建或删除对象,也不能控制通道。
# Allow MCAUSER to connect to QMgr
setmqaut -m QMGR -g mqmmqi -t qmgr -all +connect +allmqi +dsp
# Allow inquire/display of non-queue objects
# Some of these object types are new for v6
setmqaut -m QMGR -g mqmmqi -n '**' -t namelist -all +dsp +inq
setmqaut -m QMGR -g mqmmqi -n '**' -t process -all +dsp +inq
setmqaut -m QMGR -g mqmmqi -n '**' -t authinfo -all +dsp +inq
setmqaut -m QMGR -g mqmmqi -n '**' -t channel -all +dsp
setmqaut -m QMGR -g mqmmqi -n '**' -t service -all +dsp
setmqaut -m QMGR -g mqmmqi -n '**' -t listener -all +dsp
setmqaut -m QMGR -g mqmmqi -n '**' -t clntconn -all +dsp
# Default allow-all to all queues
setmqaut -m QMGR -g mqmmqi -n '**' -t queue -all +allmqi +dsp
# This gets us back to almost full admin but positions us to set
# additional restrictions.
# Restrict access to SYSTEM.** queues. Browsing and display of these
# queues is reasonable but not PUT, SET, ALTUSR, etc.
setmqaut -m QMGR -g mqmmqi -n 'SYSTEM.**' -t queue -all +inq +browse +dsp
# Allow limited access to command queue.
setmqaut -m QMGR -g mqmmqi -n 'SYSTEM.ADMIN.COMMAND.QUEUE' -t queue -all +inq
+put +dsp
# Allow access to SYSTEM.MQEXPLORER.REPLY.MODEL.QUEUE if it exists.
setmqaut -m QMGR -g mqmmqi -n 'SYSTEM.MQEXPLORER.REPLY.MODEL.QUEUE' -t queue
-all +inq +dsp +put
# Allow access to SYSTEM.DEFAULT.MODEL.QUEUE.
setmqaut -m QMGR -g mqmmqi -n 'SYSTEM.DEFAULT.MODEL.QUEUE' -t queue -all
+allmqi +dsp
# Restrict access to DLQ. This assumes SYSTEM DLQ is used. If not,
# you might want to script this to inquire on the QMgr DLQ property
# and set that.
setmqaut -m QMGR -g mqmmqi -n 'SYSTEM.DEAD.LETTER.QUEUE' -t queue -all +put
+inq +browse +dsp
- ››WebSphere 反向投资者: 解决 WebSphere Applicati...
- ››WebSphere sMash 的创新应用,第 2 部分: 借助包装...
- ››Websphere MQ v6集群的负载均衡新功能
- ››WebSphere Process Server V6.0.2 集群,第 2 部分...
- ››WebSphere Process Server V6.0.2 集群,第 1 部分...
- ››WebSphere MQ性能调优浅谈
- ››WebSphere配置资源库管理
- ››WebSphere中的SSL/TLS:用法、配置和性能
- ››websphere ejb远程/本地调用总结
- ››WebSphere Application Server对SIP的支持
- ››WebSphere Process Server V6 体系结构概述
- ››WebSphere Business Process Management V6.1 入门...
赞助商链接