WebSphere MQ推荐的AUTHRECS

Question

以下是AUTHRECS的推荐值，当然这需要根据每个要求进行调整。

1. QUEUE MANAGER
2. QUEUE（本地，远程，dlq）
3. CHANNEL（服务器连接，发件人，收件人等）

Answer 1

我经常告诉人们考虑三个不同的安全组：

1. QMgr-to-QMgr连接归结为＆＃34;我授予哪个auths RCVR / RQSTR / CLUSRCVR频道的MCAUSER？＆＃34;此类别中的角色取决于您希望网络安全性的细化程度。通常，相邻的QMgrs不应该访问本地QMgr的命令队列。频道的MCAUSER可以连接到QMgr并查询，然后在它实际需要的队列上放置和设置。那就是它。
2. 应用程序到QMGR。通过＆＃34;应用程序＆＃34;这里我指的是一个位于锁定数据中心的业务应用程序。这些应用程序通常需要连接和查询QMgr，然后放置，获取，浏览，发布，订阅队列和主题。有时他们需要更多提升的身份验证，例如为消息设置上下文信息的能力，但这种情况很少见，并且仅限于特定的队列。
3. 互动用户。在这个组中，有各种角色，如管理员，匿名用户以及介于两者之间的所有内容。这些可能需要访问以显示甚至管理除队列和主题之外的对象。

其中每个都有非常不同的身份验证和授权要求。它们还具有不同的特征，例如消息量和帐户的稳定性以及它们所需的授权。

但是，他们都有一些共同点。
• 向有权访问命令队列的任何人授予对QMgr的设置，使他们成为完全管理员。
• 授予创建队列（动态队列除外）的功能，使用户成为完全管理员。
• 连接或打开对象的任何内容都需要查询QMgr及其授权的对象。
• 业务应用程序需要对其队列和主题进行读/写访问，而不是其他类型的对象。
• 检测通常需要访问许多对象类型，但不以读取或更新业务队列上的消息。
• 如果您正在监控安全性，那么人类用户至少需要显示对所有对象的显示访问权限。这是因为枚举对象（例如绘制队列屏幕）的唯一方法是使PCF等效于DIS objType(*)。如果用户没有objType的所有对象的显示访问权限，则QMgr会在发布显示时发出授权错误。