WebSphere MQ 7.1 Aide Besoin d'Accès ou de Sécurité
Je veux créer un gestionnaire de file d'attente et une file d'attente sur le WebSphere MQ serveur et que je veux faire deux choses
1) accéder au gestionnaire de file d'attente et la file d'attente à l'aide de WMQ Explorer à partir d'une boîte de client
2) écrire un Java stand-alone application qui s'exécute sur le client zone de et place et reçoit un message de la file d'attente.
Cependant, je suis d'authentification des exceptions. S'il vous plaît laissez-moi savoir ce que je fais de mal?
Serveur Linux Box :
J'ai WebSphere MQ v7.1 installé
Gestionnaire de file d'attente QM_TEST
créé (crtmqm
, strmqm
commandes)
File d'attente locale Q_TEST
créé (runmqsc
et la define qlocal
)
SVRCONN canaux définis (DEFINE CHANNEL (TEST_CHANNEL) CHLTYPE (SVRCONN) TRPTYPE (TCP)
)
commencé un écouteur (runmqlsr -t tcp -m QM_TEST -p 1414
)
Linux Boîte De Client :
Essayé de Montrer/Cacher le gestionnaire de file d'attente à l'aide du nom d'hôte, adresse ip, le gestionnaire de file d'attente nom et le nom du canal; mais j'ai l'erreur suivante:
Access not permitted. You are not authorized to perform this operation. (AMQ4036)
Severity: 10 (Warning)
Explanation: The queue manager security mechanism has indicated that the userid associated with this request is not authorized to access the object.
Essayé d'accéder à la file d'attente et le gestionnaire de file d'attente en utilisant le code java, met en évidence ci-dessous:
public void sendMail(Mail mail) { MQConnectionFactory cf = new
MQQueueConnectionFactory(); Connection conn = null; try { //config
cf.setHostName("hostname"); cf.setPort(1414);
cf.setQueueManager("QM_TEST"); cf.setChannel("TEST_CHANNEL");
cf.setTransportType(WMQConstants.WMQ_CM_CLIENT);//WMQ_CM_DIRECT_TCPIP);
WMQ_CM_CLIENT
conn = cf.createConnection(); //fails here
Mais j'ai l'erreur suivante:
Erreur s'est produite :JMSWMQ2013: L'authentification de sécurité n'est pas valide
qui a été fourni pour QueueManager 'QM_TEST" avec le mode de connexion
"Client" et le nom d'hôte 'hostname(1414)'.
Pouvez-vous aider? Comment puis-je passer l'authentification de sécurité de l'information? Pour l'instant, c'est OK, si je peux désactiver la sécurité. Juste besoin d'obtenir ce travail?
Permettez-moi de savoir si j'ai besoin de fournir plus d'informations.
Mise à JOUR:
J'ai créé 'mq-utilisateur" utilisateur de linux (mq-groupe d'utilisateurs). CHLAUTH est activé (par défaut).
Après la création de la file d'attente du gestionnaire de QM_TEST (à l'aide de sudo mqm), j'ai exécuté la suite mqsc commandes à nouveau à l'aide de sudo mqm:
DEFINE QLOCAL(TEST_QUEUE)
SET AUTHREC PROFILE('TEST_QUEUE') OBJTYPE(QUEUE) PRINCIPAL('mq-user') AUTHADD(PUT,GET)
SET AUTHREC OBJTYPE(QMGR) PRINCIPAL('mq-user') AUTHADD(CONNECT)
DEFINE CHANNEL (TEST_CHANNEL) CHLTYPE (SVRCONN) TRPTYPE (TCP)
SET CHLAUTH(TEST_CHANNEL) TYPE(ADDRESSMAP) ADDRESS('xxx.xx.xxx.*') MCAUSER('mq-user')
DEFINE LISTENER (TEST_LISTENER) TRPTYPE (TCP) CONTROL (QMGR) PORT (1414)
START LISTENER (TEST_LISTENER)
Je reçois toujours AMQ4036 l'accès non autorisé d'erreur. Rappelez-vous, je accéder au Gestionnaire de File d'attente et la File d'attente à partir d'une troisième machine à distance (ordinateur client) connecté en tant que tiers de l'utilisateur. Cependant je me rends compte que je peux passer 'mq-utilisateur des informations d'identification. Je souhaite qu'il y avait clairement des instructions étape par étape quelque part, WebShere MQ 71. infocenter est pas assez clair pour moi.
Ce qui manque encore ici?
OriginalL'auteur arrehman | 2012-01-16
Vous devez vous connecter pour publier un commentaire.
Avec v7.1 de WMQ le gestionnaire de file d'attente par défaut, de ne pas autoriser les connexions administratives. Donc, si l'ID que vous utilisez est
mqm
ou si c'est dans lemqm
groupe sur la MQ server, il n'aura pas accès. Le facile (lire: PAS SÛR) façon de régler ce problème est de supprimer la CHLAUTH dossier qui contient la règle. IBM a publié une note technique au sujet de ce ici.À plus long terme et de trouver la meilleure solution est de garder la CHLAUTH record qui n'autorise pas l'accès administratif et, au lieu de se connecter en utilisant un autre ID utilisateur. Bien sûr, que l'ID de la nécessité d'exister dans la MQ server et être dans un groupe qui est autorisé. Pour en savoir plus sur ce sujet, jetez un oeil à la glisse et à l'enregistrement des webinaires ici.
Lorsque vous êtes prêt à activer la sécurité sur le dos, vous pouvez trouver beaucoup d'informations sur ce
setmqaut
commandes à utiliser à t-rob.net où j'ai archivé la sécurité des présentations et des laboratoires de l'IMPACT et Européenne WSTC conférences.Je tiens à garder le CHLAUTH ACTIVER comme recommandé. Je peux créer un autre id utilisateur. Je suppose que cela ne devrait pas être partie de mqm groupe? Qu'entendez-vous par groupe qui est autorisé? Quelles sont les bonnes pratiques? Créer un "mq_user' utilisateur et affectez des autorisations de l'utilisateur pour le gestionnaire de file d'attente et pertinentes objets de file d'attente? Aussi comment puis-je passer cette ID à l'aide de JMS? Avez-vous un article ou d'un exemple d'application pour le présent?
Oui, toute l'ID qui est dans le mqm groupe aura plein accès admin. WMQ autorise par le groupe, pas par ID (à l'exception de Windows). Par exemple, vous
setmqaut
avec l'option-p sur Linux. WMQ regarde le groupe primaire de l'IDENTIFIANT et attache le contrôle d'accès pour que groupe, pas l'ID. Cela peut conduire à des résultats inattendus, donc je conseille toujours de NE PAS UTILISER l'option-p! Pour passer un ID à l'aide de JMS juste le préciser lors de la connexion de l'usinecf.createConnection("id", "passwd")
et être au courant le mot de passe n'est pas vérifiée. Voir le Durcissement de Sécurité WebSphere MQ présentation p#10 à t-rob.net/linksJ'ai créé un deuxième QM, j'ai désactivé l'CHLAUTH à l'aide de ALTER QMGR CHLAUTH(DÉSACTIVÉ), Mais j'obtiens la même erreur de sécurité. Je pensais que c'est ce que j'ai fait pour la première file d'attente qui fait le travail.
Avez-vous activer l'autorisation d'événements et d'installer SupportPac MS0P dans votre WMQ Explorer? Si oui, vous pouvez regarder les messages d'événement et ils vous diront qui l'API échec de l'appel, l'ID qui a été en usage, l'objet de l'appel a échoué, etc. Je soupçonne que vous vous connectez avec un faible niveau de privilège de l'ID et que vous avez besoin pour exécuter le setmqaut commandes sur le nouveau QMgr à autoriser le groupe.
OriginalL'auteur T.Rob
T. Rob est correct à 100%. Toutefois, il ne faut pas mal interpréter ce que vous pouvez quitter la sécurité de l'éteindre. Il ya une raison pourquoi IBM a conçu V7.1 pour ce type de rigueur sur la sécurité. Ils sont de façon proactive législatives et lignes directrices de l'industrie pour le PCI-DSS. Bravo à IBM.
OriginalL'auteur Maryellen Evans