我为IBM MQ配置了SSL安全性。我使用
禁用了用户识别ALTER AUTHINFO(SYSTEM.DEFAULT.AUTHINFO.IDPWOS) AUTHTYPE(IDPWOS) CHCKCLNT(OPTIONAL)
REFRESH SECURITY TYPE(CONNAUTH)
我在相应的频道上设置了MCA用户ID,因此在建立连接后,此用户将用于任何进一步的操作。我检查了IBM MQ文档,发现存在两种用户识别方式(使用系统用户或LDAP)。现在我想打开用户标识,但我不想使用系统用户或LDAP,而只想使用SSL证书。我既不想传递用户名或密码,也不想配置LDAP。
我的问题是,是否可以将SSL安全性用于连接建立(身份验证),还可以用于用户身份验证。
答案 0 :(得分:4)
是的,可以使用证书专有名称详细信息将用户映射到运行通道使用的MCAUSER。为此,您将使用CHLAUTH功能。
确保已启用: -
DISPLAY QMGR CHLAUTH
如果不是,请使用以下命令启用它: -
ALTER QMGR CHLAUTH(ENABLED)
要从SSL证书映射到MCAUSER,您可以创建如下的CHLAUTH规则: -
SET CHLAUTH(APP1.SSL.SVRCONN) TYPE(SSLPEERMAP) SSLPEER('CN=Morag,O=MQGem') MCAUSER('hughson')
其中APP1.SSL.SVRCONN是我的频道名称,SSLPEER字段中的字符串是我的证书中的主题DN,而'hughson'是我想要在其MCAUSER中看到正在运行的频道使用的值此证书进入此渠道。
此类规则通常与MCAUSER中的backstop rule和/或垃圾用户ID结合使用。因此,如果您不匹配填写合适的MCAUSER的CHLAUTH规则,则该频道将不会运行。