OK, las respuestas están a la venta, compre una, obtenga tres gratis hoy! :-) Tomemos esto en orden ...
1.A. El valor de MCAUSER del canal es el ID con el que se realizan las comprobaciones de autorización. Si el DEFINE CHL() CHLTYPE(SVRCONN)
deja MCAUSER en blanco, los clientes que se conectan pueden especificar la ID a la que desean conectarse. Si no especifican, el cliente de WMQ intenta para usar el ID del usuario del cliente como se ve desde la estación de trabajo donde se ejecuta la aplicación cliente y presentar eso. Establecer MCAUSER
en la definición de canal evita que la aplicación cliente especifique el valor.
1.B. El MCAUSER en una regla ADDRESSMAP
se utiliza para asignar el MCAUSER
en función de algunos criterios de identificación. Se dice "SI una conexión llega en este canal con una dirección IP especificados | Nombre de Usuario | SSL Nombre Distinguido ENTONCES uso este ID como el MCAUSER
Y permiten que el canal funcione si no hay otro bloque de reglas ella.
la recomendación si una regla CHLAUTH
mapeo se utiliza es por lo general para establecer de MCAUSER
a un valor que no puede posiblemente ser un ID de usuario por lo que no se ejecutará. de esta manera el canal predeterminado es un estado seguro a menos que un CHLAUTH
el canal La regla anula el MCAUSER a un valor destinado a permitir el acceso. El valor ntessential para MCAUSER
solía ser nobody
hasta que Mark Taylor, estratega de WMQ de Hursley Lab, sugirió usar un valor que no puede ser una identificación de usuario real, como no#body
. A partir de WMQ V7.1, el valor *NOACCESS
es un trabajo reservado y lo que estoy usando en las presentaciones de la conferencia en estos días.
2. Sí. WMQ autoriza basado en grupos. El consejo estándar es deconstruir sus requisitos de seguridad en roles como 'admin', 'app1', 'app2', 'monitoring', 'anonymous', etc. Luego, para cada uno de estos roles que requieren acceso, cree un grupo.
Pero las solicitudes de acceso provienen de entidades identificadas de forma única, no de grupos. La verificación de autorización requiere una cuenta para comprobar para que el MCAUSER en el canal sea una ID, mientras que los derechos de autorización se almacenan por grupo. Para asociar a un usuario con los derechos correctos, inscríbalos en el grupo correcto.
Este es el modelo de autorización estándar de UNIX que admite la separación de tareas. Los administradores de recursos (el administrador de WMQ) autorizan grupos. Los administradores de cuenta inscriben ID de usuario en grupos. Se necesitan ambos grupos para proporcionar acceso. En el mundo real, la mayoría de las tiendas no utilizan la característica de separación de funciones, pero en casos importantes es obligatoria.
3. Tipo de. Un QMgr predeterminado en V7.1 o superior no permitirá ninguna conexión remota en absoluto. Esto se debe a que, cuando se creó, no tiene reglas AUTHREC
, por lo que los no administradores no tienen acceso. Los administradores están bloqueados del acceso remoto por la regla predeterminada CHLAUTH
.
Con las reglas especificadas, cualquier persona puede conectarse correctamente al canal $cname
y será autorizada como tcs-mq-user
. Si desea que se conecten como una ID de usuario diferente con los mismos privilegios, deberá agregar esa ID al grupo mq-user
y luego configurar el canal para asignar los ID presentados. Si desea hacer cumplir que identifica a alguien conectado, debe especificar la asignación por dirección IP o, mejor aún, en función del nombre completo de su certificado.
4. No. Como se menciona en el n. ° 2 anterior, las solicitudes de acceso las realizan siempre los directores, no los grupos. El objetivo de CHLAUTH
rules, MCAUSER
y el mapeo de nombres distinguidos es resolver la identificación de usuario que utiliza el canal para verificaciones de autorización. La definición del canal MCAUSER
es un control de seguridad en ese proceso de resolución de ID, por lo que opera en la ID y no en el grupo.
Si aún no ha encontrado el sitio, puede encontrar que T-Rob.net es útil. En particular, en la página de enlaces he publicado todas las presentaciones de WMQ Security de las conferencias, así como enlaces a mis artículos y a los de otros autores.
Como siempre, respuesta muy completa. En cuanto al ítem 3 de tu respuesta, dices * cualquiera * puede conectarse a $ cname ... Ahora entiendo esto desde un modo de cliente. ¿Qué tal el modo de enlaces, es esto cierto allí también? – arrehman
en los enlaces, o modo de memoria compartida, necesito cambiar a tcs-mq-user ¿verdad? ¿Qué ocurre si tcs-mq-user es una identificación que no es de inicio de sesión? – arrehman
En el modo de enlaces, no se utiliza ningún canal. Es una conexión directa de memoria a memoria. Las reglas CHLAUTH y la definición de canal se aplican solo cuando la conexión se realiza a través de la pila de red. Si desea que tcs-mq-user se conecte en el modo de enlaces, esa ID debe ser capaz de ejecutar un proceso. Por lo tanto, dependiendo de lo que signifique "no iniciar sesión" en su tienda, es posible que deba crear una cuenta de inicio de sesión para ejecutar procesos localmente. (Algunas tiendas configuran "sin inicio de sesión", de modo que las cubiertas interactivas no se permiten, pero la raíz puede iniciar un proceso que se ejecuta como esa ID. Su millaje puede variar). –