Diferențierea drepturi WebSphere MQ - websphererus

Sistemul de diferențiere a drepturilor se bazează pe furnizarea unui anumit grup de utilizatori accesul la un anumit set de obiecte, în acest caz, una și pot fi furnizate același obiect permisiuni diferite pentru utilizatori și grupuri dintr-un grup. Pentru a furnizat în continuare materialul a fost înțeles, este necesar să se dezvolte un limbaj comun în termeni și definiții utilizate în articol. Să ne uităm la ele:

Pentru a lucra cu un sistem de diferențiere a drepturilor utilizate de echipa: setmqaut și dspmqaut, setați permisiunile pentru obiecte le puteți utiliza GUI MQExplorer.

comandă setmqaut este utilizat pentru a instala și de a elimina drepturile de obiecte.

Dupa ce a experimentat cu setarea CHLAUTH în MQ 7.5, am aflat două puncte interesante. A fost creată o regulă care permite accesul la canalul pentru administrarea MQ utilizatorului doar cu un anumit myadmuser înregistrare cont:

SET CHLAUTH (ADM.CHANNEL) TIP (USERMAP) CLNTUSER ( 'myadmuser') USERSRC (canal)

DISPLAY CHLAUTH (*)
30. DISPLAY CHLAUTH (*)
AMQ8878: canal de afișare detalii înregistrare autentificare.
CHLAUTH (ADM.CHANNEL) TIP (USERMAP)
CLNTUSER (myadmuser) USERSRC (canal)

Dacă nu introduceți un nume de utilizator în ghilimele simple, atunci regula va fi creat astfel:

AMQ8878: canal de afișare detalii înregistrare autentificare.
CHLAUTH (ADM.CHANNEL) TIP (USERMAP)
CLNTUSER (MYADMUSER) USERSRC (canal)

Când este conectat la un nume de utilizator canal sensibil, sub care este înscris în Windows. De exemplu, în cazul în care este introdus ca o myadmuser, ca regulă creată pentru MYADMUSER, el nu va fi capabil să se conecteze la canal. Dacă ați creat ambele versiuni ale regulilor (pentru majuscule și minuscule), tot nu va fi capabil să se conecteze în cazul în care acesta este introdus în sistem ca Myadmuser sau myAdmUser sau altceva.

Și acum, cel mai interesant. Dacă vă înregistrați în setările de conectare, numele de utilizator (de exemplu, în MQ Explorer în conexiune fila Proprietăți în userid), activitatea de regulă CHLAUTH, și să acorde acces, chiar dacă utilizatorul este conectat la Windows ca un alt nume.

Concluzie: în MQ 7.5 este nici o autentificare și reguli CHLAUTH pentru autentificare numele de utilizator nu are o aplicație practică, dar da numai aspectul protecției MQ.

Evaluare: 0 (la 0 voturi)

Alexander, în MQ nu a fost niciodată un sistem complet de autentificare, și eu nu cred că va fi. Înainte de versiunea 5.3 a fost integrat sistem de autentificare bazat pe pachete de utilizator / parola transmise de la client la server. Pe baza acestui sistem prin intermediul unui canal de ieșiri de securitate pot fi puse în aplicare sistemul de vizibilitate fiabil. Cu toate acestea, IBM a abandonat acest mecanism în favoarea autentificare de domeniu, care este mult mai fiabile, deoarece înainte ca numele și parola sunt stocate în variabile de mediu și a trecut prin rețea în text clar. Acum, după cum a remarcat în mod corect Serghei, este posibil să se utilizeze LDAP, care în combinație cu înregistrările de identificare canal vă permite să construiască un sistem fiabil. Pentru fanii hardcore nu a fost anulat de securitate de ieșire canal și SSL.

Evaluare: 0 (la 0 voturi)

„Și acum, cel mai interesant. Dacă vă înregistrați în setările de conexiune, numele de utilizator (de exemplu, în MQ Explorer în conexiune fila Proprietăți în userid), activitatea de regulă CHLAUTH, și să acorde acces, chiar dacă utilizatorul este conectat în Windows cu un nume diferit "

Această caracteristică este foarte utilă pentru administrator, deoarece oferă posibilitatea de a verifica imediat corectitudinea politicii a creat pentru un anumit utilizator.

În cazul în care administratorul a activat înregistrările de identificare a canalului, o astfel de substituție pentru fisurii nu are nici un sens, din moment ce va fi mai eșec la intersecția cu managerul.

Evaluare: 0 (la 0 voturi)

Ieșire doar jumătate din dreapta. Faptul că, în autentificarea MQ nu - da, dar noi nu pretinde altfel. Se ocupă poștale cu delimitarea drepturilor de acces la managerul de obiect pentru utilizatori diferiți - și are o aplicație practică.
De exemplu, există două externe la sistemul MQ. Fiecare dintre ele lucrează cu propriul set de cozi de așteptare. Pentru a distinge aceste sisteme de drepturi de acces sunt cele două canale și doi utilizatori, care stabilește dreptul la seturile de coadă corespunzătoare. Asta post-asta.
Cum de a organiza accesul administrativ la MQ este o chestiune separată.

Evaluare: 0 (la 0 voturi)