WebSphere MQ चैनल प्रवेश सुरक्षा प्रश्न

Question

निम्नलिखित कतार defintinons पर विचार करें:

सेट AUTHREC OBJTYPE (QMGR) ग्रुप ('MQ-उपयोगकर्ता) AUTHADD (INQ, डीएसपी, कनेक्ट)

सेट AUTHREC शख्सियत (SYSTEM.MQEXPLORER.REPLY.MODEL) OBJTYPE (कतार) ग्रुप ('MQ-उपयोगकर्ता) AUTHADD (INQ, डीएसपी, GET)

सेट AUTHREC शख्सियत (SYSTEM.ADMIN.COMMAND.QUEUE) OBJTYPE (कतार) ग्रुप ('एमक्यू-यूजर') AUTHADD (आईएनक्यू, डीएसपी, पुट)

डेफिन सी HANNEL ($ CNAME) CHLTYPE (SVRCONN) TRPTYPE (टीसीपी) MCAUSER ('TCS-MQ-उपयोगकर्ता) की जगह

सेट CHLAUTH ($ CNAME) प्रकार (ADDRESSMAP) पता (*) MCAUSER (' TCS-MQ-उपयोगकर्ता ')

1. में दोनों चैनल और SETCHLAUTH परिभाषा MCAUSER का अर्थ क्या है?
2. क्या टीसीएस-एमक-उपयोगकर्ता एमक-यूजर ग्रुप से संबंधित होना चाहिए?
3. क्या इसका मतलब यह है कि केवल टीसीएस-एमक-उपयोगकर्ता को बाइंडिंग मोड में कतार प्रबंधक तक पहुंच है? अब क्या होगा यदि मैं बाध्यकारी मोड में किसी अन्य उपयोगकर्ता तक पहुंच देना चाहता हूं, तो क्या मुझे इस उपयोगकर्ता के लिए डेफिन चैनल और सेट क्लाउथ कमांड की एक और जोड़ी बनाना चाहिए?
4. क्या चैनल को एमसीएस-उपयोगकर्ता समूह तक पहुंच देना संभव है?

Answer 1

ठीक है, उत्तर बिक्री पर हैं, एक खरीदें आज तीन मुफ्त प्राप्त करें! :-) चलो इन्हें क्रम में लें ...

1. ए। चैनल का MCAUSER मान वह आईडी है जिसके खिलाफ प्राधिकरण जांच की जाती है। यदि DEFINE CHL() CHLTYPE(SVRCONN) एमसीएसर खाली छोड़ देता है, तो क्लाइंट कनेक्टिंग आईडी को निर्दिष्ट कर सकता है जिसे वे कनेक्ट करना चाहते हैं। यदि वे निर्दिष्ट करने में असफल होते हैं, तो WMQ क्लाइंट क्लाइंट उपयोगकर्ता की आईडी का उपयोग करने के लिए प्रयास करता है जैसा क्लाइंट ऐप चल रहा है और उसमें मौजूद है। चैनल परिभाषा में MCAUSER सेट करना क्लाइंट ऐप को मान निर्दिष्ट करने से रोकता है।

1. बी।ADDRESSMAP नियम में MCAUSER का उपयोग कुछ पहचान मानदंडों के आधार पर MCAUSER को मैप करने के लिए किया जाता है। इसे कहते हैं " यदि एक कनेक्शन एक निर्धारित आईपी पते के साथ इस चैनलपर आता है | प्रयोक्ता नाम | एसएसएल विशिष्ट नाम तो उपयोग रूप MCAUSERऔर चैनल की अनुमति देने के इस आईडी को चलाने के लिए, अगर कोई अन्य नियम ब्लॉक यह।

सिफारिश करता है, तो एक CHLAUTH मानचित्रण नियम प्रयोग किया जाता है स्थापित करने के लिए आमतौर पर है चैनल के MCAUSER एक मूल्य है कि संभवतः एक यूजर आईडी तो यह। इस तरह चैनल जब तक कि एक CHLAUTH एक सुरक्षित स्थिति में चूक नहीं चलेंगे नहीं कर सकते करने के लिए नियम एमसीएयूएसईआर को पहुंच की अनुमति देने के लिए एक मूल्य पर ओवरराइड करता है। क्यूई MCAUSER के लिए ntessential मान nobody होता था जब तक कि मार्क टेलर, हर्सले लैब के डब्लूएमक्यू रणनीतिकार ने एक ऐसे मान का उपयोग करने का सुझाव दिया जो no#body जैसे वास्तविक उपयोगकर्ता आईडी नहीं हो सकता है। डब्लूएमक्यू वी 7.1 के रूप में मूल्य *NOACCESS एक आरक्षित काम है और मैं इन दिनों कॉन्फ़्रेंस प्रस्तुतियों में क्या उपयोग कर रहा हूं।

2. हां। डब्ल्यूएमक्यू समूह के आधार पर अधिकृत करता है। मानक सलाह है कि 'एडमिन', 'एप 1', 'एप 2', 'मॉनिटरिंग', 'अज्ञात' इत्यादि जैसी भूमिकाओं में अपनी सुरक्षा आवश्यकताओं को रद्द करना है। फिर इन भूमिकाओं में से प्रत्येक के लिए एक्सेस की आवश्यकता है, एक समूह बनाएं।

लेकिन एक्सेस अनुरोध प्रिंसिपल से आते हैं जो विशिष्ट रूप से पहचाने जाते हैं, समूहों से नहीं। प्राधिकरण जांच के लिए एक खाते की जांच करने की आवश्यकता होती है ताकि चैनल में एमसीएयूएसईआर एक आईडी हो, जबकि प्राधिकरण अधिकार समूह द्वारा संग्रहीत किए जाते हैं। किसी उपयोगकर्ता को सही अधिकारों से जोड़ने के लिए, उन्हें सही समूह में नामांकित करें।

यह मानक यूनिक्स प्राधिकरण मॉडल है जो कर्तव्यों को अलग करने का समर्थन करता है। संसाधन प्रशासक (डब्लूएमक्यू प्रशासक) समूह को अधिकृत करते हैं। खाता व्यवस्थापक समूह में उपयोगकर्ता आईडी नामांकित करते हैं। यह दोनों समूहों को पहुंच प्रदान करने के लिए लेता है। वास्तविक दुनिया में, अधिकांश दुकानें कर्तव्यों की सुविधा को अलग करने का उपयोग नहीं करती हैं लेकिन एक महत्वपूर्ण मामलों में यह अनिवार्य है।

3. क्रमबद्ध करें। V7.1 या उच्चतर पर एक डिफ़ॉल्ट QMgr किसी भी दूरस्थ कनेक्शन की अनुमति नहीं देगा। इसका कारण यह है कि जब बनाया गया तो इसमें AUTHREC नियम नहीं हैं, इसलिए गैर-व्यवस्थापक को पहुंच प्रदान नहीं की जाती है। डिफ़ॉल्ट CHLAUTH नियम द्वारा व्यवस्थापक को दूरस्थ पहुंच से अवरुद्ध कर दिया गया है।

निर्दिष्ट नियमों के साथ

, किसी सफलतापूर्वक $cname चैनल से कनेक्ट कर सकते हैं और tcs-mq-user के रूप में अधिकृत किया जाएगा। यदि आप उन्हें एक अलग उपयोगकर्ता आईडी के समान विशेषाधिकार के साथ कनेक्ट करना चाहते हैं तो आपको उस आईडी को mq-user समूह में जोड़ना होगा और फिर चैनल को प्रस्तुत आईडी को मैप करने के लिए सेट करना होगा। यदि आप लागू करना चाहते हैं, तो कौन सी आईडी कनेक्ट की गई है, आपको आईपी पते द्वारा मैपिंग निर्दिष्ट करना होगा या बेहतर होगा, उनके प्रमाण पत्र के विशिष्ट नाम के आधार पर।

4. नहीं। जैसा कि ऊपर # 2 में उल्लेख किया गया है, एक्सेस अनुरोध हमेशा प्रिंसिपल द्वारा किए जाते हैं, समूहों द्वारा नहीं। CHLAUTH नियमों का पूरा बिंदु, MCAUSER और विशिष्ट नाम मैपिंग उपयोगकर्ता आईडी को हल करने के लिए है जिसे चैनल प्राधिकरण जांच के लिए उपयोग करता है। चैनल परिभाषा MCAUSER उस आईडी रिज़ॉल्यूशन प्रक्रिया में सुरक्षा नियंत्रण है और इसलिए यह आईडी पर चलती है, न कि समूह पर।

यदि आपको पहले से साइट नहीं मिली है, तो आपको T-Rob.net उपयोगी मिल सकता है। विशेष रूप से, लिंक पेज पर मैंने सम्मेलनों से सभी डब्लूएमक्यू सुरक्षा प्रस्तुतियों के साथ-साथ मेरे और अन्य लेखकों के लेखों के लिंक भी पोस्ट किए हैं।