我是 WAS MQ 的新手。我有一个名为 QM1 的 qmgr 和一个名为 Q1 的本地队列。有一个 MCA 设置为 mqm 的 SVRCONN 通道。
我想阻止通过此通道传入的消息将消息发送到 Q1。 我正在使用 setmqaut,但它没有按我的意愿工作。
【问题讨论】:
mqm ID 被阻止了,而不是它通过了。请看下面的答案。
您无法阻止通过该通道进行特定 API 调用的原因是 MCAUSER('mqm') 设置可确保通过该通道连接的任何内容始终以完全管理权限连接。无法使用setmqaut 或任何其他本机 WMQ 功能来阻止管理员访问队列。无论setmqaut 设置如何,QMgr 始终允许管理员访问。
关于推荐什么有点不清楚,因为没有“WAS MQ”之类的东西。有 WebSphere Application Server (WAS) 和 WebSphere MQ (WMQ)。 WAS 曾经与 WMQ 捆绑在一起,但两者并不是一个产品。
假设您指的是 WebSphere MQ 而不是 WebSphere App Server 与 WMQ 通信,我强烈建议您迁移到现代版本。 WMQ v7.0 已宣布终止生命周期,它缺少 v7.1 及更高版本的身份验证功能。从 v8.0 开始,WMQ 甚至可以验证用户 ID 和密码。
为了在 WMQ 中进行身份验证和应用精细授权,您需要在通道的 MCAUSER 中使用一些值 other 而不是“mqm”。标准建议是将RCVR、RQSTR、CLUSRCVR 和SVRCONN 类型的所有通道的MCAUSER 设置为*NOBODY,然后根据有用的信息(例如专有名称)安排对您的通道进行身份验证的证书。验证连接的其他不太有用的方法(因为这些几乎不能称为“身份验证”)包括查看入站连接的 IP 地址或 SVRCONN 上声明的身份。
在 v7.0 中,这些需要退出,BlockIP2 是全球 WMQ 安装基础中使用的标准。在 v7.1 和 v7.5 中,您只需使用标准 MQSC 脚本配置 CHLAUTH 规则即可实现相同的目的。
t-rob.netLinks 页面上的多个会议演示文稿讨论了如何执行此操作。我强烈建议迁移到 WMQ v7.5,特别是因为 you can do so for free 作为开发人员,无论运行 QMgr 的公司购买的许可状态如何。但是,如果 QMgr 处于维护状态,也可以免费升级到 v7.5。如果你等到 6 月,你就可以拥有 v8.0,尽管据我所知,还没有宣布免费的开发者版本的可用性。
【讨论】:
我搜索了很长时间来解决这个问题,还阅读了T.Rob 的演示文稿,尤其是this 的一个。最后我选择定义CHLAUTH的解决方案,以检查IP想通过哪个连接到我的频道。
我在下面添加CHLAUTH 到我的队列管理器,它可以工作。
SET CHLAUTH('SVRCONN') TYPE(BLOCKUSER) USERLIST('ALLOWANY') WARN(YES) ACTION(ADD)
SET CHLAUTH('SVRCONN') TYPE(ADDRESSMAP) ADDRESS('*') USERSRC(NOACCESS)
SET CHLAUTH('SVRCONN') TYPE(ADDRESSMAP) ADDRESS('192.168.148.40-60') MCAUSER('mqm')
我也推荐看看this。
【讨论】: