Impossible de se connecter au gestionnaire de file d'attente dans WebSphere MQ 7.1
J'ai installé WebSphere MQ 7.1 sur une plateforme Linux, après lequel j'ai installé WebSphere Message Broker 8.0.0.1. Maintenant, quand j'essaie de créer un groupe d'exécution, j'obtiens une exception: le code de Raison 2035. Cette exception prévoit que l'utilisateur n'est pas autorisé à se connecter au gestionnaire de file d'attente. J'ai cet utilisateur ajouté dans la mqm
groupe. Je n'ai pas face à un tel problème, lorsque je travaillais avec MQ 7.0.x. J'ai beaucoup cherché et est venu de savoir qu'il y a de l'ID d'utilisateur de blocage en MQ 7.1. Mais, je veux que cet utilisateur soit en mesure de créer de l'exécution du groupe, comment puis-je le faire? Veuillez informer.
OriginalL'auteur Tanu | 2012-10-15
Vous devez vous connecter pour publier un commentaire.
Si vous créez un nouveau QMgr au V7.1 ou supérieur, il est livré avec les éléments suivants par défaut CHLAUTH règles:
L'autre sur le fond raconte la QMgr "si quelqu'un essaie de se connecter sur un SVRCONN à l'aide d'un nom d'utilisateur administratif, de bloquer la connexion dans tous les cas."
Afin de permettre une connexion à partir de Courtier Toolkit, vous avez deux choix comme suit:
Comme un spécialiste de la sécurité, je préfère la première option. Il est inévitable que la MQ admin peut administrer le courtier. Toutefois, il est possible d'éviter que le courtier (et par extension l'ensemble de la courtier en flux) pour administrer le QMgr.
Si, toutefois, vous souhaitez prendre la deuxième route, vous aurez besoin de remplacer le CHLAUTH règle qui bloque l'accès admin. Il y a plusieurs façons de le faire. Vous pouvez supprimer la règle, mais qui s'ouvre tous vos canaux à l'admin de connexions. Une approche plus précise est de fournir une règle juste pour le canal sur lequel l'administrateur pour se connecter. Par exemple:
Depuis WMQ s'applique la règle la plus spécifique, la règle par défaut est remplacé par le nouveau, mais seulement pour la
SYSTEM.BKR.CONFIG
canal. LeBLOCKUSER
règle de syntaxe nous permet de préciser à qui de nier, mais de ne pas autoriser et il faut les Id d'utilisateur plutôt que les Id de groupe. Afin de permettre à l'administrateur d'accès, il est nécessaire de spécifier certains ID qui n'est pas*MQADMIN
. J'ai pris*NOACCESS
parce qu'il ne peut y avoir de réelle ID d'utilisateur et un mot réservé utilisé par WMQ ailleurs. Vous pouvez tout aussi facilement utilisé tout IDENTIFIANT commenobody
ou mêmemqm
. (Blocagemqm
permettraitmqbrkrs
mais pasmqm
cependant depuismqbrkrs
est dans lemqm
groupe, il ne serait pas restreindre mqbrkrs de l'administration de la QMgr.)Enfin, notez que tout canal qui permet l'accès admin devrait être fortement authentifié. Si la seule CHLAUTH vous définissez la règle est celle ci-dessus, puis personne avec un réseau de route pour la QMgr pouvez vous connecter sur ce canal en affirmant le
mqbrkrs
ID d'utilisateur de la connexion. Une fois connecté, ils ont le plein contrôle sur la QMgr et la capacité à distance, de façon anonyme exécuter des commandes à l'aide de lamqm
oumqbrkrs
Id d'utilisateur. À tout le moins d'y ajouter un CHLAUTH règle de filtre conenctions sur ce canal par adresse IP. Ou, mieux encore, utiliser SSL et filtre les connexions par le certificat nom unique.OriginalL'auteur T.Rob
MQ de sécurité a été beaucoup amélioré en MQ v7.1 et est différent de ce qu'il utilisé pour être au plus tôt MQ versions. En MQ v7.1, par défaut, tous les SYSTÈME.les canaux sont bloqués. Si vous essayez d'utiliser l'un de ces SYSTÈME. les canaux, puis vous obtiendrez 2035 qui est MQRC_NOT_AUTHORIZED. La méthode recommandée est de créer votre propre SVRCONN canal de courtier et de créer une voie d'authentification des dossiers pour permettre à l'utilisateur d'accéder gestionnaire de file d'attente.
Veuillez voir cette lien pour les réponses détaillées de T. Rob sur des questions semblables.
Mise à jour:
Un SVRCONN canal définit le point de terminaison d'un gestionnaire de file d'attente sens les informations de connexion requises par les clients pour se connecter à un gestionnaire de file d'attente. Les applications Client de l'utilisation de ce type de canal d'envoyer et de recevoir des messages d'une file d'attente ou un sujet.
Message Broker toolkit GUI que vous pouvez utiliser pour gérer message broker, par exemple la création d'exécution groupes, la création de flux, le déploiement de fichiers de la barre d'etc. Boîte à outils est disponible sur Windows et je suppose que c'est disponible sur Linux.
J'ai appris qu'MO toolkit requiert SYSTÈME.BRK.CONFIG canal qui est un SVRCONN canal pour vous connecter au gestionnaire de file d'attente. Je pense c'est le canal, vous aurez besoin de l'autoriser pour permettre à l'agent de Messages pour vous connecter à la MQ. Pouvez-vous vérifier si c'est le cas et si oui, de créer une voie d'authentification record pour ce canal?
Comme de V7.1 vous devez configurer l'accès pour SVRCONN canal que vous définissez. La définition d'un canal et d'autorisation de groupes permettra aux utilisateurs non-administrateurs de se connecter. Pour les utilisateurs avec un accès administrateur, vous devez également remplacer les CHLAUTH règle qui bloque les utilisateurs admin. Le meilleur conseil est de faire que par canal et non pas par la suppression ou la désactivation d'une règle. Ne prenez mqbrkrs de la mqm groupe si possible. Seulement de garder réel MQ admins dans le mqm groupe. Shashi - merci pour le lien!
J'ai mqbrkrs ajouté dans le mqm groupe.. je vais vous dire ce que j'ai fait jusqu'à maintenant.. j'ai désactivé le CHLAUTH.. après laquelle les choses fonctionnaient bien.. mais je ne voulais pas.. Maintenant.. j'ai supprimé de la file d'attente gère et créé de nouveau, de sorte que l'authentification est activée. Maintenant, je exécuter: ENSEMBLE CHLAUTH(*) TYPE (QMGRMAP) QMNAME(NSPZPAI1) USERSRC(CARTE) MCAUSER('mqbrkrs') afin de setmqaut -m NSPZPAI1 -n ** -t file d'attente -g mqbrkrs +dsp +inq +mettre +obtenir .mais encore obtenir "2035".Veuillez informer qu'il est vraiment crucial.
Quel est le nom de la QMgr où le courtier toolkit est d'essayer de se connecter? Qu'est-ce que le SVRCONN nom de la chaîne? (Il est courtier trousse à outils et non du courtier lui-même donne des problèmes, non?)
Le gestionnaire de file d'attente nom est NSPZPAI1, la mq admin nom du groupe est mqm et mq utilisateur est également mqm. Le nom du courtier est NSPZPAI1, courtier nom d'utilisateur admin est mqbrkrs qui est également ajouté dans mqbrkrs groupe.Le mqm utilisateur a mqm que son groupe principal et mqbrkrs que son groupe secondaire. De même, la mqbrkrs utilisateur a mqbrkrs que son groupe principal et mqm que son groupe secondaire.Je fais la file d'attente du gestionnaire de mqm utilisateur et le courtier et l'exécution du groupe de mqbrkrs de l'utilisateur.Je suis en mesure de créer de courtier et de commencer, mais lorsque je tente de créer de l'exécution du groupe, je fais face à 2035 exception.
OriginalL'auteur Shashi