Web Sphere 7.5添加用户

时间:2015-05-28 08:53:49

标签: ibm-mq mq

如何在WebSphere 7.5 MQ Explorer中将新用户添加到我的队列? 我有一个90天的试用版,而且我没有管理员控制台:/我不知道为什么......

我想连接到我服务器上的队列,但我无法使用管理员帐户进行连接。

2 个答案:

答案 0 :(得分:2)

MQ Explorer不允许更改操作系统,因此您必须先通过其他方式在操作系统中创建用户。

但是,如果您的用户标识存在,那么您可以使用MQ Explorer授予该用户对该队列的访问权限。在资源管理器中打开队列列表,然后右键单击要添加用户权限的队列。选择对象权限 - >管理权限记录...这将打开向导,允许您将组或用户添加到队列中。

您还需要允许该用户连接到我怀疑的队列管理器吗?

答案 1 :(得分:2)

首先,去获取产品名称为MQ Advanced for Developers的非过期版本。在撰写本文时,它在v7.5和v8.0中可用,并且是免费的。如果您需要支持,IBM会让您为此付钱,但全功能,未过期的产品是免费的。

MQ现在默认发送安全。首次创建队列管理器时,它会拒绝客户端通道上的管理连接。它允许超过SYSTEM.ADMIN.SVRCONN的非管理员频道,除非您明确授权他们,否则非管理员对QMgr没有任何权利。

(从v8.0开始,QMgr也默认设置为需要ID和密码,但你不必担心MQ v7.5。)

如果您使用的是Linux或Windows QMgr并且可以在安装QMgr的主机上启动MQ Explorer,请使用绑定模式而不是通道连接到QMgr。如果您使用的是管理用户ID(mqm组中的一个或Windows上的管理员组),则绑定模式将起作用。

如果必须通过客户端通道进行连接,则需要设置MQ以允许管理连接和/或低权限用户连接。您可以通过停用CHLAUTH规则来执行此操作,但不鼓励 强烈 。了解MQ安全性如何工作比禁用它更好。

您还可以定义允许连接的新CHLAUTH规则。默认的CHLAUTH规则如下所示:

dis CHLAUTH(*) all
     1 : dis CHLAUTH(*) all
AMQ8878: Display channel authentication record details.
   CHLAUTH(*)                              TYPE(BLOCKUSER)
   DESCR(Default rule to disallow privileged users)
   CUSTOM( )                               USERLIST(*MQADMIN)
   WARN(NO)                                ALTDATE(2015-05-28)
   ALTTIME(15.10.02)
AMQ8878: Display channel authentication record details.
   CHLAUTH(SYSTEM.ADMIN.SVRCONN)           TYPE(ADDRESSMAP)
   DESCR(Default rule to allow MQ Explorer access)
   CUSTOM( )                               ADDRESS(*)
   USERSRC(CHANNEL)                        CHCKCLNT(ASQMGR)
   ALTDATE(2015-05-28)                     ALTTIME(15.10.02)
AMQ8878: Display channel authentication record details.
   CHLAUTH(SYSTEM.*)                       TYPE(ADDRESSMAP)
   DESCR(Default rule to disable all SYSTEM channels)
   CUSTOM( )                               ADDRESS(*)
   USERSRC(NOACCESS)                       WARN(NO)
   ALTDATE(2015-05-28)                     ALTTIME(15.10.02)

请注意,第一条规则是阻止任何渠道上的管理员用户。您可以添加一条新规则,以阻止您要用于管理员的频道上的某些非管理员用户。

runmqsc MYQMGRNAME

DEFINE CHL(MY.ADMIN.SVRCONN) CHLTYPE(SVRCONN) MCAUSER('*NOACCESS') REPLACE
DEFINE CHLAUTH(MY.ADMIN.SVRCONN) TYPE(ADDRESSMAP) ADDRESS(127.0.0.1) USERSRC(CHANNEL)
DEFINE CHLAUTH(MY.ADMIN.SVRCONN) TYPE(BLOCKUSER) USERLIST('*NOBODY')

DEF CHL命令为管理员定义新频道,并将MCAUSER设置为确保该频道无法启动的值。

第一个CHLAUTH规则告诉MQ将错误的MCAUSER替换为连接请求中的错误{{1>},前提是请求来自127.0.0.1且仅适用于 {{1 }}。在此处填写您自己的IP地址。最好使用证书而不是IP地址来验证连接。

第二个MY.ADMIN.SVRCONN规则有点棘手。没有“允许用户”规则,因此我们必须使用CHLAUTH类型的规则。但是当我们阻止用户时,我们必须提供非空的列表。我们需要的是TYPE(BLOCKUSER)规则,其中频道名称比默认值 更具体,其CHLAUTH值为包含USERLIST或您的实际用户ID。我在这里使用*MQADMIN因为它显然意图是不阻止任何人,并且值永远不会成为实际的用户ID。

定义仅供管理员使用的频道被视为最佳实践。不基于IP地址或主机名对管理员进行身份验证。一旦与管理员ID建立连接并配置了QMgr,请考虑充分了解MQ证书以强烈验证管理员连接。和/或转到V8.0 QMgr和客户端,您可以使用密码登录。

相关问题
最新问题