ibm-mq - Websphere 7.5 添加用户

Question

如何将新用户添加到 WebSphere 7.5 MQ Explorer 中的队列？我有 90 天试用版，但没有管理员控制台:/我不知道为什么...

我想连接到放置在我的服务器上的队列，但无法使用管理员帐户连接。

Answer 1

首先，获取产品名称为 MQ Advanced for Developers 的未过期版本。截至撰写本文时，它已在 v7.5 和 v8.0 中提供，并且是免费的。如果您需要支持，IBM 会让您为此花钱，但全功能、不过期的产品是免费的。

MQ 现在默认安全交付。当您首次创建队列管理器时，它会拒绝通过客户端 channel 的管理连接。它将允许非管理员 channel 通过 SYSTEM.ADMIN.SVRCONN，除非您明确授权非管理员对 QMgr 没有任何权限。

(从 v8.0 开始，QMgr 默认情况下也设置为需要 ID 和密码，但使用 MQ v7.5 时您无需担心这一点。)

如果您使用的是 Linux 或 Windows QMgr，并且可以在安装 QMgr 的主机上启动 MQ Explorer，请使用绑定(bind)模式而不是 channel 连接到 QMgr。如果您使用管理用户 ID(mqm 组中的用户 ID，或者在 Windows 上也是管理员组中的用户 ID)，则绑定(bind)模式将起作用。

如果您必须通过客户端 channel 进行连接，则需要设置 MQ 以允许管理连接和/或低权限用户连接。您可以通过禁用 CHLAUTH 规则来实现此目的，但强烈不鼓励这种方法。了解 MQ 安全性的工作原理比禁用它要好得多。

您还可以定义允许连接的新CHLAUTH规则。默认的 CHLAUTH 规则如下所示:

dis CHLAUTH(*) all
     1 : dis CHLAUTH(*) all
AMQ8878: Display channel authentication record details.
   CHLAUTH(*)                              TYPE(BLOCKUSER)
   DESCR(Default rule to disallow privileged users)
   CUSTOM( )                               USERLIST(*MQADMIN)
   WARN(NO)                                ALTDATE(2015-05-28)
   ALTTIME(15.10.02)
AMQ8878: Display channel authentication record details.
   CHLAUTH(SYSTEM.ADMIN.SVRCONN)           TYPE(ADDRESSMAP)
   DESCR(Default rule to allow MQ Explorer access)
   CUSTOM( )                               ADDRESS(*)
   USERSRC(CHANNEL)                        CHCKCLNT(ASQMGR)
   ALTDATE(2015-05-28)                     ALTTIME(15.10.02)
AMQ8878: Display channel authentication record details.
   CHLAUTH(SYSTEM.*)                       TYPE(ADDRESSMAP)
   DESCR(Default rule to disable all SYSTEM channels)
   CUSTOM( )                               ADDRESS(*)
   USERSRC(NOACCESS)                       WARN(NO)
   ALTDATE(2015-05-28)                     ALTTIME(15.10.02)

请注意，第一条规则表示阻止任何 channel 上的管理员用户。您可以添加一条新规则，规定在您要供管理员使用的 channel 上阻止某些非管理员用户。

runmqsc MYQMGRNAME

DEFINE CHL(MY.ADMIN.SVRCONN) CHLTYPE(SVRCONN) MCAUSER('*NOACCESS') REPLACE
DEFINE CHLAUTH(MY.ADMIN.SVRCONN) TYPE(ADDRESSMAP) ADDRESS(127.0.0.1) USERSRC(CHANNEL)
DEFINE CHLAUTH(MY.ADMIN.SVRCONN) TYPE(BLOCKUSER) USERLIST('*NOBODY')

DEF CHL 命令为管理员定义一个新 channel ，并将 MCAUSER 设置为确保该 channel 不会启动的值。

第一个 CHLAUTH 规则告诉 MQ 将错误的 MCAUSER 替换为连接请求中的 ，前提是该请求来自 127.0.0.1 并且仅适用于 MY.ADMIN.SVRCONN。此处填写您自己的IP地址。最好使用证书而不是 IP 地址来验证连接。

第二个 CHLAUTH 规则有点棘手。没有“允许用户”规则，因此我们必须使用 TYPE(BLOCKUSER) 类型的规则。但是当我们阻止用户时，我们必须提供他们的非空列表。我们需要的是一个 CHLAUTH 规则，其中 channel 名称比带有 USERLIST 的默认和更具体不包含 *MQADMIN 或您的实际用户 ID 的值。我在这里使用 *NOBODY 是因为它很明显表明其意图是不阻止任何人，并且该值永远不能是实际的用户 ID。

定义仅供管理员使用的 channel 被认为是最佳实践。不能根据 IP 地址或主机名对管理员进行身份验证。一旦您与管理员 ID 连接并配置了 QMgr，请考虑充分了解 MQ 证书以对管理员连接进行严格身份验证。和/或转到 V8.0 QMgr 和客户端，您可以在其中使用密码登录。