Keine Verbindung zum queue-manager in WebSphere MQ 7.1

Habe ich installiert WebSphere MQ 7.1 auf der Linux-Plattform, nach dem ich installiert WebSphere Message Broker 8.0.0.1. Wenn ich jetzt versuche zum erstellen einer Gruppe Ausführung, bekomme ich eine Ausnahme: Grund-code 2035. Diese Ausnahme besagt, dass der Benutzer ist nicht autorisiert, eine Verbindung zum queue-manager. Ich habe diesen Benutzer Hinzugefügt, in der mqm Gruppe. Ich habe nicht vor einem solchen Problem, wenn ich arbeiten war mit MQ 7.0.x. Ich suchte eine Menge und kam zu wissen, dass es Benutzer-ID-Blockierung in MQ 7.1. Aber, ich möchte diese Benutzer werden in der Lage zu erstellen Gruppe Ausführung, wie kann ich das tun? Bitte beraten.

InformationsquelleAutor Tanu | 2012-10-15

  1. 5

    Wenn Sie erstellen eine neue QMgr bei V7.1 oder oben, es kommt mit den folgenden Standard-CHLAUTH Regeln:

    SET CHLAUTH(SYSTEM.ADMIN.SVRCONN)           TYPE(ADDRESSMAP)
    DESCR(Default rule to allow MQ Explorer access)
    ADDRESS(*) 
    MCAUSER( )                              USERSRC(CHANNEL)

SET CHLAUTH(SYSTEM.*)                       TYPE(ADDRESSMAP)
    DESCR(Default rule to disable all SYSTEM channels)
    ADDRESS(*)
    MCAUSER( )                              USERSRC(NOACCESS)

SET CHLAUTH(*)                              TYPE(BLOCKUSER)
    DESCR(Default rule to disallow privileged users)
    USERLIST(*MQADMIN)

    Die eine auf der Unterseite sagt die QMgr "wenn jemand versucht, eine Verbindung über einen SVRCONN mit einem administrativen Benutzer-ID, blockieren die Verbindung in allen Fällen."

    Ermöglichen eine Verbindung von Makler-Toolkit haben Sie zwei Möglichkeiten, wie folgt:

    1. Entfernen mqbrkrs von der mqm-Gruppe. Dies ermöglicht es, zu verbinden, ohne brennen der CHLAUTH Regel, dass die Blöcke den admin-Benutzer. Sie wird natürlich erforderlich sein, um eine Bewilligung erteilen, die für die mqbrkrs Gruppe zu alle broker-und-Anwendung-Warteschlangen, auf die es zugreifen muss, da es nicht länger ein MQ admin.
    2. Überschreiben der CHLAUTH Regel zum zulassen der broker toolkit zu verbinden, wie ein admin auf dem SYSTEM.Der BROKER.KONFIG-channel.

    Als ein security-Spezialist, ich bevorzuge die erste option. Es ist unvermeidlich, dass die MQ-admin verwalten können der broker. Es ist jedoch möglich, zu vermeiden, ermöglicht der broker (und durch Verlängerung alle der broker fließt) zur Verwaltung des QMgr.

    Wenn Sie jedoch möchten, nehmen Sie die zweite route, die Sie brauchen, um das überschreiben der CHLAUTH Regel blockiert admin-Zugang. Es gibt mehrere Möglichkeiten, dies zu tun. Könnten Sie die Regel löschen, aber das öffnet alle Ihre Kanäle zu admin-verbindungen. Eine genauere Vorgehensweise ist in der Regel nur für den Kanal, auf dem der administrator eine Verbindung herstellen. Zum Beispiel:

    SET CHLAUTH(SYSTEM.BKR.CONFIG) TYPE(BLOCKUSER) +
    USERLIST('*NOACCESS')

    Da ein Fehler in WMQ gilt die spezielle Regel, die default-Regel wird außer Kraft gesetzt durch die neue ersetzt, sondern nur für die SYSTEM.BKR.CONFIG Kanal. Die BLOCKUSER Regel-syntax ermöglicht es uns zu bestimmen, wer zu verleugnen, aber wer nicht zu ermöglichen, und es dauert, Benutzer-IDs, anstatt Gruppen-IDs. Damit admin-Zugriff ist es notwendig, um anzugeben einige - ID, die ist nicht *MQADMIN. Ich nahm *NOACCESS weil es nicht eine tatsächliche Benutzer-ID und das ist ein reserviertes Wort, das verwendet wird, indem ein Fehler in WMQ anderswo. Sie konnte so leicht eine Benutzer-ID wie nobody oder sogar mqm. (Blockierung mqm erlauben würde mqbrkrs aber nicht mqm jedoch seit mqbrkrs ist in der mqm Gruppe würde es nicht einschränken mqbrkrs von der Verwaltung des QMgr.)

    Schließlich ist zu beachten, dass jeder Kanal, der es ermöglicht admin-Zugriff sollte stark authentifiziert. Wenn die nur CHLAUTH Regel, die Sie legen, ist die eine oben, dann jemand mit einer Netzwerk-route zu der QMgr Verbindung herstellen können, die auf diesen Kanal durch die Geltendmachung der mqbrkrs Benutzer-ID für die Verbindung. Einmal verbunden, Sie würden die volle Kontrolle über den QMgr und die Fähigkeit, aus der Ferne, anonym ausführen der Befehle unter Verwendung der mqm oder mqbrkrs Benutzer-IDs. Zumindest fügen Sie ein CHLAUTH Regel filtern conenctions auf diesem Kanal die IP-Adresse. Oder, noch besser, verwenden Sie SSL-und filter-verbindungen durch das Zertifikat distinguished name.

    ..Thanx alot für Eure Antworten, Sie waren wirklich nützlich ..und ich kam zu wissen, viel über MQ 7.1 und seine Sicherheits-features. Ich war auch in der Lage, die Ausführung Gruppe erfolgreich. danke..

    InformationsquelleAutor T.Rob

  2. 6

    MQ-Sicherheit wurde einiges verbessert im MQ v7.1 und unterscheidet sich von, was es einmal in früheren MQ-Versionen. Im MQ v7.1, standardmäßig werden alle SYSTEM.Kanäle blockiert werden. Wenn Sie versuchen, verwenden Sie eine der folgenden SYSTEM. Kanäle Sie erhalten dann 2035 die MQRC_NOT_AUTHORIZED. Der empfohlene Weg, um erstellen Sie Ihr eigenes SVRCONN-Kanal für Makler und erstellen channel authentication records, um dem Benutzer zu ermöglichen, Zugang-Warteschlangen-manager.

    Finden Sie in diesem link für die ausführlichen Antworten von T. Rob auf ähnlichen Problem.

    Update:

    Einen SVRCONN-Kanal definiert den Endpunkt einer queue-manager Bedeutung der Verbindung erforderlichen Informationen von den clients zum herstellen einer Verbindung zu einem queue-manager. Client-Anwendungen verwenden dieser Art von Kanal zum senden und empfangen von Nachrichten an/von einer Warteschlange oder ein Thema.

    Message Broker toolkit ist die GUI, die Sie verwenden können, um zu verwalten, message broker, zum Beispiel das erstellen von Ausführungs-Gruppen, erstellen von flow, die Bereitstellung von bar-Dateien etc. Toolkit ist verfügbar auf Windows-und ich denke, es ist unter Linux verfügbar.

    Habe ich erfahren, dass MB toolkit erfordert SYSTEM.BRK -.CONFIG-channel, der eine SVRCONN-Kanal Verbindung zum queue-manager. Ich denke, dies ist der Kanal, den Sie brauchen, zu autorisieren, zu ermöglichen, Message-Broker-Verbindung zum MQ. Können Sie überprüfen, ob dies der Fall ist, und wenn ja, erstellen von Kanal-Authentifizierung Aufzeichnung für diesen Kanal?

    Vielen Dank für Ihre Antwort. Nach dem gegebenen link... u kann mir sagen, auf welcher alle Kanäle sollte ich SETZEN CHLAUTH? Da Sie auf diesen link, es ist gegeben : SATZ CHLAUTH('JAVA.KANAL') (USERMAP) CLNTUSER('mqbrkrs') USERSRC(KARTE) MCAUSER('mqbrkrs') AKTION(HINZUFÜGEN).. Aber von diesem Befehl, ich wäre in der Lage zu autorisieren mqbrkrs auf JAVA.Kanal' .. Auf welche anderen Kanäle brauche ich, um Autorisierung, so dass mqbrkrs (wird Hinzugefügt, die im mqm-Gruppe) in der Lage sein zu erstellen Gruppe Ausführung? Auch, bitte sagen Sie mir, kann ich auch löschen müssen mqbrkrs von mqm-Gruppe? So dass , mqbrkrs ist nicht mehr ein admin-Benutzer?
    Als der V7.1 müssen Sie die Bereitstellung, den Zugang für jedes SVRCONN-Kanal, den Sie definieren. Definieren Sie einen Kanal und Autorisierung von Gruppen ermöglicht es, nicht-admin-Benutzer zu verbinden. Für Benutzer mit admin-Zugang müssen Sie auch außer Kraft setzen, die CHLAUTH Regel, dass die Blöcke den admin-Benutzer. Beste Rat ist, zu tun, dass pro Kanal und nicht durch das löschen oder deaktivieren der Regel. Nehmen mqbrkrs aus dem mqm-Gruppe, wenn überhaupt möglich. Nur halten die tatsächliche MQ-admins in der Gruppe mqm. Shashi - danke für den link!
    Ich habe mqbrkrs Hinzugefügt, in der Gruppe mqm.. ich werde Ihnen sagen, was ich bis jetzt getan.. ich deaktiviert, die CHLAUTH.. nach dem die Dinge geklappt,.. aber ich wollte es nicht.. Nun.. ich löschte die Warteschlange verwaltet und erstellt es neu so, dass die Authentifizierung aktiviert wurde. Jetzt habe ich ausführen: SET CHLAUTH(*) TYP (QMGRMAP) QMNAME(NSPZPAI1) USERSRC(KARTE) MCAUSER('mqbrkrs') follwed durch setmqaut -m NSPZPAI1 -n ** -t-queue -g mqbrkrs +dsp +inq +setzen +bekommen .aber trotzdem bekomme ich "2035".Bitte beraten, wie es wirklich erforderlich ist.
    Was ist der name von dem QMgr, wo die broker toolkit versucht zu verbinden? Was ist die SVRCONN-Kanal Namen? (Es ist broker toolkit und nicht die broker selbst Probleme geben, richtig?)
    Der queue-manager-name ist NSPZPAI1, die mq admin group name mqm-und mq-Benutzer mqm. Der broker name ist NSPZPAI1, broker der admin-Benutzername ist mqbrkrs die auch Hinzugefügt mqbrkrs Gruppe.Die mqm-Benutzer mqm als die primäre Gruppe und mqbrkrs als seine sekundäre Gruppe. Ebenso die mqbrkrs Benutzer hat mqbrkrs als die primäre Gruppe und mqm als seine sekundäre Gruppe.Ich mache queue-manager von mqm-Benutzer und broker und Ausführung Gruppe von mqbrkrs Benutzer.Ich bin in der Lage zu erstellen broker und starten Sie es, aber wenn ich versuche zu erstellen Gruppe Ausführung, ich Gesicht 2035 Ausnahme.

    InformationsquelleAutor Shashi

Schreibe einen Kommentar