IBM WebSphere MQ认证及访问权限管理

文章介绍了 MQ 7.0 的">权限管理机制和 MQ 7.1 新引入的通道认证机制,并提供详细的实现命令供读者参考。通过概念与实例的结合,使用户对 MQ 的认证及权限管理有一个全面详实的认识。

在企业级解决方案中,WebSphere MQ 被广泛用于不同产品间的通信,包括金融及银行领域。在这些领域中,对系统的安全性特别敏感,这就要求 MQ 具有完善的安全机制,从而应对各种潜在的攻击。MQ 的认证和权限管理,是其中重要的环节。认证可以避免非法用户的访问,而授权可以保证用户具有合适的权限。通常,两者结合使用,可以构建良好的安全屏障。

MQ 认证

认证,通常是指验证一个用户或者应用程序真实合法的过程。在 MQ 中,主要分为基于连接的认证和基于消息的认证。基于连接的认证,是通过 MQ 通道实现的;基于消息的认证,则是通过 MQ 高级消息安全(MQ AMS)实现的。在本文中,主要讲述基于连接的认证。

MQ 主要支持三种不同的认证方式:断言认证,起源认证和证书认证。在 MQ 7.0 及以前的版本中,这些认证方式主要是依靠用户编写代码,即安全出口来实现。MQ 7.1 和 MQ 7.5 集成了这三种常用的认证功能。在 MQ 7.1/7.5 中,用户可以通过定义通道认证规则来过滤连接请求。下面,是这三种认证方式的定义。

断言认证:即基于用户 ID 或者队列管理器名字的认证。对于 MQI 通道,使用客户端的用户 ID 来完成认证;对于消息通道,则使用远程队列管理器名字。这是最基本的,安全性最低的认证方式。远程用户在连接请求中声明用户 ID 或者队列管理器名字,服务器端的队列管理器接受此 ID 的连接。严格意义上讲,这个过程只是对 ID 的识别,具有非常弱的认证功能。通常,这种方式多用于查询的场景中。

起源认证:即基于 IP 地址的认证。在认证过程中,队列管理器会查看连接请求的 IP 地址,并根据已有规则决定是否接受该请求。这种认证方式,具有一定的 IP 过滤功能,从而实现基于 IP 的认证。

证书认证:这是最为严格,安全级别最高的认证方式。在连接过程中,连接请求者使用证书私钥加密随机字符串并发送到队列管理器。队列管理器会使用相应的证书公钥解密字符串。如果成功,队列管理器可以确定该连接请求者拥有合法的证书。

在 MQ 7.1 中,这三种认证方式是通过通道认证记录来实现的。通道认证记录定义了一组规则。当远程客户端或者队列管理器发来连接请求时,服务器端队列管理器可以基于这些规则检查连接参数(例如:用户 ID,IP 地址)并做出相应决定。比如,阻止来自某 IP 的连接。下面的章节介绍了如何使用通道认证记录实现断言认证、起源认证和证书认证。

通道认证记录

通道认证记录是 MQ 7.1 引入的安全功能,用来保证通道连接的合法性。MQ 7.5 具有同样的安全功能,因此本文介绍的实例也适用于 MQ 7.5。它主要通过阻止非法连接和映射远程连接到本地合法 ID 来实现该功能。用户可以使用 MQSC 命令、PCF 命令或者 MQ 资源管理器来定义通道认证记录。本文主要介绍比较常用的 MQSC 命令和 MQ 资源管理器两种方式。

在默认情况下,MQ 定义了三条通道认证记录,来保证访问的安全性。下面,通过讲解这三条记录来了解 MQSC 命令 SET CHLAUTH 的使用。

清单 1. 通道认证默认记录

SET CHLAUTH('*') TYPE(BLOCKUSER) USERLIST('*MQADMIN')     SET CHLAUTH('SYSTEM.*') TYPE(ADDRESSMAP) ADDRESS('*') USERSRC(NOACCESS)

第一条记录:阻止所有特权用户远程访问队列管理器。类型是 BLOCKUSER,用户列表是 MQADMIN,表示所有特权用户,主要指 mqm 用户组内的用户。在 MQ 7.1 以前的版本中,很多用户习惯显式设置 MCAUSER 为 mqm,从而比较方便的实现远程访问。在 MQ 7.1 及以后的版本中,这种方式不再被支持。

第二条记录:阻止所有对 SYSTEM 通道的连接。类型是 ADDRESSMAP,而地址是“*”,表示所有地址。最后,NOACCESS 作用等同于拦截连接。

第三条记录:这条记录是基于第二条记录的,表示只有系统通道 SYSTEM.ADMIN.SVRCONN 可以被远程访问。

关于 SET CHLAUTH 的详细参数介绍,请参考 MQ 7.1 的信息中心。下面,主要介绍三种认证方式的实现。

断言认证的实现

这种方法是将远程的用户 ID 或者队列管理器名字映射到本地 ID。首先,使用 MQ 资源管理器实现该映射。从 MQ 资源管理器面板选择要操作的队列管理器,并展开其通道部分。右键点击“通道认证记录”来新建一个通道认证记录,弹出第一个窗口。

图 1. 创建通道认证记录

在这个窗口中,可以选择新规则的用途。选择“允许访问”表示允许运程连接;选择“阻止访问”表示拦截远程连接。点击“下一步”,进入下一页面。

图 2. 选择匹配类型

从上图可以看到,可以选择 SSL/TLS 主题的专有名称、客户机应用程序用户标识、远程队列管理器名称或者 IP 地址和本地用户 ID 匹配。在本例中,选择客户机应用程序用户标识,进入下一步。

图 3. 选择通道

在这一步中,选择该规则所应用的一个或者多个通道。由于前面选择了“客户机应用程序用户标识”,因此该规则仅应用于服务器连接通道。如果选择“远程队列管理器名称”,则对应的通道应该为服务器通道或者接收通道。在设定好通道以后,就需要设置远程客户机用户标识。

时间: 2024-12-30 17:16:26

IBM WebSphere MQ认证及访问权限管理的相关文章

IBM WebSphere MQ帮助用户了解队列管理器迁移的场景

一旦在迁移过程中出现问题,客户总是会以最高的优先级来要求 IBM 支持团队给予最高的重视.迁移问题通常很复杂,涉及面很多,需要收集很多的日志文件协助分析.对于 http://www.aliyun.com/zixun/aggregation/13387.html">WebSphere MQ 来说,最重要的迁移对象是队列管理器.本文通过概念与实例的结合,帮助用户了解队列管理器迁移的场景.使用户熟悉各种情况下对队列管理器的迁移有所掌握. 通常来说,有两种方式可以对 MQ 队列管理器进行迁移.一种

IBM WebSphere MQ创建队列管理器前的系统级操作

您可以通过本文了解 z/OS 的子系统基本配置和启动流程,以及 MQ 需要的所有定制化操作.作为该系列的第 1 部分,本文着重介绍创建队列管理器前的系统级操作. IBM 主机及其之上的 z/OS 操作系统,是在上世纪 60 年代 IBM 主机平台之上不断积累进化的产物.发展到今日,该环境已经演变为如今商业计算领域最为高效.稳定.可靠的计算机 IT 环境之一.如今,越来越多的银行.金融.电信.交通等行业领域意识到主机系统相比于开放式服务器系统的优势,并投入到主机的怀抱中来. 此外,IBM WebS

IBM WebSphere MQ 7.5基本用法

一.下载7.5 Trial版本 http://www.ibm.com/developerworks/downloads/ws/wmq/ 这是下载网址,下载前先必须注册IBM ID,下载完成后一路Next即可(注:windows上安装时,会询问是否域环境,初次学习时,为简单起见,建议选择No) 安装完成后,MQ的Bin目录会自动添加到环境变量Path中,以后就可以直接用Dos命令行窗口操作(当然,也可以用图形化GUI方式通过IBM WebSphere MQ Explorer来管理) 注:安装时,强

ibm websphere mq与webservice整合

问题描述 ibm websphere mq与webservice整合 3C 项目里有个需求,需要同时用到ibm mq和webservice.我是client,webservice中没有提供需要访问的ip地址,访问的话需要通过mq队列实现,请问有谁做过吗?具体怎么实现?能否提供样例代码,紧急求助!!! 解决方案 lz的意思是webservice中返回的消息推送给mq,client从mq中读取消息.是这样吗?如果是的话,就用java代码连接目的mq呗.不知lz对mq了解多少,贴些资源自己去看吧.ja

IBM WebSphere MQ在Windows上多版本的安装

本文从基本概念入手,并辅以详细的实现步骤,在 Windows 平台上同时安装 MQ7.0/MQ7.1/MQ7.5.通过阅读本文,读者能够快速理解 MQ V7.1 的多版本特性,并应用到实际工作中. WebSphere MQ 是非常流行的消息中间件,拥有众多的企业级用户.它提供了跨平台的,支持不同编程语言的安全可靠的消息传递,是用于部署企业级 IT 网络的强大通讯工具.本文介绍的 MQ V7.1 多版本特性,有助于加速客户的测试.部署,更好的适应快速发展的 IT 技术. 本系列第 1 部分主要介绍

如何配置IBM WebSphere MQ环境来生成审计事件

系统管理员可使用 http://www.aliyun.com/zixun/aggregation/13387.html">WebSphere MQ 审计功能改进其对 WebSphere MQ 环境的控制和监视,而安全专家可使用它生成审计线索和改进系统治理.本文还将展示如何使用 IBM SupportPac MH05 和 IBM Tivoli Composite Application Manager (ITCAM) for Applications 来查看和监视审计事件. 随着 IT 安全

IBM WebSphere MQ对集群化环境和负载平衡的重要性

假设客户有一个重要应用程序使用 IBM® http://www.aliyun.com/zixun/aggregation/13387.html">WebSphere® MQ 作为消息传递系统,需要升级现有的分布式排队环境以处理新业务和确保高可用性.作为升级的一部分,现有环境中的一些队列管理器将作为一个集群的一部分,另一些队列管理器将单独提供.本文将介绍 IBM 提出的一种概念证明设计. 队列管理器别名定义 队列管理器别名定义有 3 个用途: 在发送消息时,重新映射队列管理器名称 在发送消息

展示IBM WebSphere MQ Application Activity Trace的潜在用途

Application Activity Trace 提供一个详细视图,包含应用程序行为.应用程序与 http://www.aliyun.com/zixun/aggregation/13387.html">WebSphere MQ 队列管理器及其资源的交互.本文使用多个场景来展示 IBM®WebSphere®MQ Application Activity Trace 的潜在用途,包括问题确定和维护 WebSphere MQ 消息的审计跟踪.在各个场景中将使用两个工具来格式化用于分析的 Ap

mq-问一个关于 IBM WebSphere MQ的问题,消息错误代码为RC2019

问题描述 问一个关于 IBM WebSphere MQ的问题,消息错误代码为RC2019 我写了一个生产者程序,每隔5s往MQ发100条消息,又写了一个消费者程序,每隔10s从MQ中取消息,再写入文件,生产者MQ主要代码:MQQueue queue = null; int openOptions = MQConstants.MQOO_OUTPUT | MQConstants.MQOO_FAIL_IF_QUIESCING | MQConstants.MQGMO_WAIT; if (qMgr ==