gpt4 book ai didi

ibm-mq - 连接到 Websphere MQ 7.1 时出现 MQRC_NOT_AUTHORIZED 错误

转载 作者:行者123 更新时间:2023-12-03 07:51:17 29 4
gpt4 key购买 nike

我对 IBM Websphere Mq“非常”陌生,我会尽量提供尽可能多的细节。

我在 Vmware Workstation 上运行的 Windows server 2003 上安装了 Websphere MQ 7.1。主机正在运行带有 Websphere MQ 客户端和我的 ASP.NET 应用程序的 Windows 7。 (我的应用程序应该通过SVRCONN channel 连接到Windows server 2003 Websphere的队列管理器,安装在主机上的Websphere客户端仅用于测试目的,将WMQ客户端连接到WMQ服务器导致AMQ4036访问未授权错误,导致结论需要服务器配置!)

两个系统都可以互相ping通并且在同一个本地网络上。 (我是不是也提到了 1415 端口已打开并且 TCP 监听器正在服务器虚拟机上运行?)

ASP.NET 代码段:

queueManager = new MQQueueManager(queueManagerName, queueProperties);

queueManagerName 与服务器的队列管理器和 queueProperties 匹配,如下所示:
queueProperties[MQC.HOST_NAME_PROPERTY] = "192.168.203.128";

queueProperties[MQC.PORT_PROPERTY] = 1415;

queueProperties[MQC.CHANNEL_PROPERTY] = "QM_TEST.SVRCONN";

queueProperties[MQC.USER_ID_PROPERTY] = "";

queueProperties[MQC.PASSWORD_PROPERTY] = "";


编译时,我收到 MQRC_NOT_AUTHORIZED 异常,以下日志记录在服务器端的 AMQERR01.log 中(注意:IBM WMQ 以法语安装,日志以法语生成,但我认为您会设法理解错误。)
3/04/2013 21:32:25 - Process(1120.3) User(MUSR_MQADMIN) Program(amqzmur0.exe)
Host(HATRIXX-82HDFHA) Installation(Installation1)
VRMF(7.1.0.2) QMgr(QM_TEST)

AMQ6287: WebSphere MQ VC:\Program Files\IBM\WebSphere MQ (Installation1).

EXPLICATION :
Informations système WebSphere MQ :
Produit :- Windows Server 2003, Build 3790: SP1 (MQ Windows 32-bit)
Version :- C:\Program Files\IBM\WebSphere MQ (Installation1)
Informations hôte :- 7.1.0.2 (p710-002-121029)
ACTION :
Aucun(e).
-------------------------------------------------------------------------------
13/04/2013 21:32:25 - Process(2128.11) User(MUSR_MQADMIN) Program(amqzlaa0.exe)
Host(HATRIXX-82HDFHA) Installation(Installation1)
VRMF(7.1.0.2) QMgr(QM_TEST)

AMQ8075: L'autorisation a échoué car il est impossible d'obtenir le SID de
l'entité 'hatrix'.

EXPLICATION :
Le gestionnaire des droits d'accès aux objets n'a pas pu obtenir le SID de
l'entité spécifiée. Cet incident peut être dû à l'absence de la machine locale
du domaine (l'entité ne peut donc pas être localisée) ou à l'inexistence de
l'entité.
ACTION :
Vérifiez que l'entité est valide et que tous les contrôleurs de domaine requis
sont disponibles. Il peut être nécessaire de créer l'entité sur la machine
locale.
----- amqzfubn.c : 2227 -------------------------------------------------------
13/04/2013 21:32:25 - Process(2524.7) User(MUSR_MQADMIN) Program(amqrmppa.exe)
Host(HATRIXX-82HDFHA) Installation(Installation1)
VRMF(7.1.0.2) QMgr(QM_TEST)

AMQ9245: Impossible d'extraire des détails de compte pour l'ID utilisateur de
canal MCA.

EXPLICATION :
WebSphere MQ n'a pas pu extraire des détails de compte pour l'ID utilisateur de
canal MCA Hatrix. Il s'agit de l'ID utilisateur MCA pour le canal
QM_TEST.SVRCONN sur le gestionnaire de files d'attente QM_TEST. Il peut avoir
été défini dans la définition de canal ou fourni par un exit de canal ou un
client.
ACTION :
Vérifiez que l'ID utilisateur est correct et qu'il est défini dans le système
local Windows, le domaine local ou un domaine de confiance. Dans le cas d'un ID
utilisateur de domaine, assurez-vous que que tous les contrôleurs de domaines
nécessaires sont disponibles.
----- cmqxrsrv.c : 1778 -------------------------------------------------------
13/04/2013 21:32:25 - Process(2128.11) User(MUSR_MQADMIN) Program(amqzlaa0.exe)
Host(HATRIXX-82HDFHA) Installation(Installation1)
VRMF(7.1.0.2) QMgr(QM_TEST)

AMQ8073: Echec de l'autorisation. Le SID ((None)) n'a pas pu être corrélé.

EXPLICATION :
Le gestionnaire de droits d'accès aux objets n'a pas pu faire correspondre le
SID spécifié à des informations connues d'entité et de domaine.
ACTION :
Assurez-vous que l'application fournit un SID reconnu sur ce système, que tous
les contrôleurs de domaines nécessaires sont disponibles et que les règles de
sécurité sont correctement définies.
----- amqzfubn.c : 4351 -------------------------------------------------------

DISPLAY CHLAUTH(QM_TEST.SVRCONN) 命令返回:
   CHLAUTH(QM_TEST.SVRCONN)                TYPE(USERMAP)
DESCR( ) CUSTOM( )
ADDRESS(*) CLNTUSER(HATRIX)
MCAUSER( ) USERSRC(CHANNEL)
WARN(NO) ALTDATE(2013-04-13)
ALTTIME(13.53.03)
AMQ8878: Affichage des détails relatifs à l'enregistrement d'authentification de
canal.
CHLAUTH(QM_TEST.SVRCONN) TYPE(USERMAP)
DESCR( ) CUSTOM( )
ADDRESS(*) CLNTUSER(MQM)
MCAUSER( ) USERSRC(CHANNEL)
WARN(NO) ALTDATE(2013-04-13)
ALTTIME(13.57.59)
AMQ8878: Affichage des détails relatifs à l'enregistrement d'authentification de
canal.
CHLAUTH(QM_TEST.SVRCONN) TYPE(ADDRESSMAP)
DESCR( ) CUSTOM( )
ADDRESS(*) MCAUSER(ADMINISTRATEUR)
USERSRC(MAP) WARN(NO)
ALTDATE(2013-04-13) ALTTIME(01.53.52)

(请注意,我添加了几条规则,而 USERID Hatrix 不存在,我已将其包含在 SET CHLAUTH 命令中以进行测试)

我认为这与 MCAuser 有关,所以我尝试将 MCAuser 设置为“Administrateur”(这是 WMQ 上的管理员名称)并连接:
queueProperties[MQC.USER_ID_PROPERTY] = "Administrateur";

仍然给我同样的错误,但服务器端日志输出不同:
13/04/2013 21:41:18 - Process(1120.3) User(MUSR_MQADMIN) Program(amqzmur0.exe)
Host(HATRIXX-82HDFHA) Installation(Installation1)
VRMF(7.1.0.2) QMgr(QM_TEST)

AMQ6287: WebSphere MQ VC:\Program Files\IBM\WebSphere MQ (Installation1).

EXPLICATION :
Informations système WebSphere MQ :
Produit :- Windows Server 2003, Build 3790: SP1 (MQ Windows 32-bit)
Version :- C:\Program Files\IBM\WebSphere MQ (Installation1)
Informations hôte :- 7.1.0.2 (p710-002-121029)
ACTION :
Aucun(e).
-------------------------------------------------------------------------------
13/04/2013 21:41:18 - Process(2524.8) User(MUSR_MQADMIN) Program(amqrmppa.exe)
Host(HATRIXX-82HDFHA) Installation(Installation1)
VRMF(7.1.0.2) QMgr(QM_TEST)

AMQ9776: La canal a été bloqué par l'ID utilisateur.

EXPLICATION :
Le canal entrant 'QM_TEST.SVRCONN' a été bloqué à partir de l'adresse
'192.168.203.1' parce que les valeurs actives du canal étaient mappées sur un
ID utilisateur qui devrai t être bloqué. Les valeurs actives du canal étaient
**'MCAUSER(Administrateur) CLNTUSER(Hatrix)'.**
ACTION :
Prenez contact avec l'administrateur système qui examinera les enregistrements
d'authentification de canal pour s'assurer que les paramètres corrects ont été
configurés. Le commutateur ALTER QMGR CHLAUTH permet de contrôler si les
enregistrements d'authentification de canal sont utilisés. La commande DISPLAY
CHLAUTH peut être utilisée pour interroger les enregistrements
d'authentification de canal.
----- cmqxrmsa.c : 1004 -------------------------------------------------------
13/04/2013 21:41:18 - Process(2524.8) User(MUSR_MQADMIN) Program(amqrmppa.exe)
Host(HATRIXX-82HDFHA) Installation(Installation1)
VRMF(7.1.0.2) QMgr(QM_TEST)

AMQ9999: Le canal 'QM_TEST.SVRCONN' vers l'hôte 'FAIROUZ (192.168.203.1)' s'est
terminé anormalement.

EXPLICATION :
Le programme du canl s'exécutant sous l'ID processus 2524(488) pour le canal
'QM_TEST.SVRCONN' a pris fin anormalement. Le canal est 'FAIROUZ
(192.168.203.1)'. Dans certains cas, son nom ne peut pas être déterminé et il
est représenté par '????'.
ACTION :
Examinez les messages d'erreur précédents du programme de canal dans les
journaux des erreurs afin de déterminer la cause de l'incident. Notez que ce
message peut être totalement exclus ou supprimé en réglant les attributs
"ExcludeMessage" ou "SuppressMessage" sous la strophe "QMErrorLog" dans le
fichier qm.ini. D'autres informations figurent dans le guide d'administration
du système.
----- amqrmrsa.c : 925 --------------------------------------------------------

我无法理解的是,ASP.NET 中队列管理器属性中的 USERID 和 PASSWORD 的用途是什么,其中 WMQ 中标识的 USERID 为“ Hatrix”(这是 Windows 7 帐户的名称)。

我是否必须在 WMQ 中创建一个新的 USERID“ Hatrix”才能使我的代码正常工作? (我不知道怎么做)

提前致谢,

调试。

最佳答案

第一个问题是 QMgr 必须能够解析传递给它的 ID。这意味着 ID 要么在本地定义,要么在 QMgr 可以访问的域中定义。通常,权限被授予组,如果是,那么它也必须由接收 QMgr 解决。

现在的问题是,QMgr 究竟解决了什么问题?当您从 Windows 机器连接到 Windows 机器上的 QMgr 时, channel 传递的 ID 是 Windows SID,它是一个通用唯一标识符 (UUID),而不是文本字符串。同样,该组解析为 Windows SID。

因此,例如,您可能在两个 Windows 机器上本地定义了一个名为 ADMINISTRATEUR 的 ID,但它仍然失败。错误会说提供的 ID 是 ADMINISTRATEUR并且该ID未经授权,您可以在dspmqaut中清楚地看到ADMINISTRATEUR 的命令被授权。除了正在发生的事情是ADMINISTRATEUR一台主机上有其唯一的 UUID,而另一台主机上的同名帐户具有不同的 UUID,Windows 正在查看 UUID 而不是文本字符串。

当您在多个地方定义了相同的 ID 时,QMgr 必须能够区分它们。当它不能时,奇怪和不寻常的事情就会发生。

例如,假设您使用 MCAUSER('hatrix') 定义了一个 channel 。然后运行 ​​setmqaut -p hatrix .让我们进一步规定 hatrix ID 未在本地定义,而是在 DOMAINA 中定义和 DOMAINB并且当命令运行时,DOMAINA域服务器是搜索路径中的第一个。
setmqaut命令解析名称 hatrixDOMAINA 中定义的 UUID .

后来由于网络正常事件,DOMAINB上升到域搜索路径中的第一个位置。现在当MCAUSER('hatrix')尝试连接,字符串 hatrix解析于 DOMAINB这是一个不同于 setmqaut 的 UUID命令解决。正常连接的 channel 突然抛出 2035 错误。

这个问题的答案是同时限定 setmqaut命令和 MCAUSER值与所需的域。例如,setmqaut -p hatrix@DOMAINA然后 MCAUSER('hatrix@DOMAINA')不管 DOMAINA 是否有效或 DOMAINB是搜索路径中的第一个,或者即使 hatrix在 WMQ 主机服务器上本地定义。 (当然,假设 hatrix 确实在 DOMAINA 中定义。

通常,您通常不想在 setmqaut 上使用 -p 选项。命令。唯一的异常(exception)是 Windows 主机,然后只有当 ID 用域或服务器名称限定时,如上所示。

最后,离开 channel 的MCAUSER空白是允许您的 Windows ID 流到 MCA 并用于授权检查。您需要意识到的是,没有进行身份验证。是的,Windows 客户端确实会发送其 Windows SID。但是,如果您在 Windows 机器上运行 Linux VM 并与之连接,则没有要传递的 SID,因此 Windows QMgr 回退到解析 ID 的字符串值。这意味着任何人都可以通过从非 Windows 客户端断言所需的 ID 以任何 ID 连接到该 channel 。

因此,请使用证书对管理连接进行强身份验证。对于低特权连接,使用 CHLAUTH 规则或退出来设置 MCAUSER而不是让它流过,然后使用 setmqaut确保 MCAUSER不是行政的。这意味着永远不要授予 +set在 QMgr 和 +crt 上在非管理员队列中避免 +setid, +setall尽可能。

更多WMQ安全内容,请到t-rob.net .

关于ibm-mq - 连接到 Websphere MQ 7.1 时出现 MQRC_NOT_AUTHORIZED 错误,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/16000324/

29 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com