Websphere 7.5 添加用户

Web Sphere 7.5 Add user

如何在 WebSphere 7.5 MQ Explorer 中将新用户添加到我的队列中? 我有 90 天试用版,但没有管理员控制台:/我不知道为什么...

我想连接到放置在我服务器上的队列,但我无法使用管理员帐户连接。

MQ Explorer 不允许更改 O/S,因此您必须先通过其他方式在 O/S 中创建用户。

但是,如果您的用户 ID 存在,那么您可以使用 MQ Explorer 授予该用户对队列的访问权限。在资源管理器中调出队列列表,然后右键单击您希望将用户添加到其权限的队列。 Select 对象权限 -> 管理权限记录...这将打开允许您将组或用户添加到队列的向导。

您还需要允许该用户连接到我怀疑的队列管理器?

首先,获取产品名称为 MQ Advanced for Developers 的未过期版本。在撰写本文时,它在 v7.5 和 v8.0 中可用并且是免费的。如果您需要支持,IBM 会让您为此砸钱,但功能齐全、不会过期的产品是免费的。

MQ 现在默认安全交付。当您第一次创建队列管理器时,它会拒绝客户端通道上的管理连接。它将允许非管理员频道超过 SYSTEM.ADMIN.SVRCONN,除非您明确授权非管理员频道对 QMgr 没有任何权限。

(从 v8.0 开始,QMgr 也默认设置为需要 ID 和密码,但使用 MQ v7.5 无需担心这一点。)

如果您正在使用 Linux 或 Windows QMgr 并且可以在安装 QMgr 的主机上启动 MQ Explorer,请使用绑定模式而不是通道连接到 QMgr。如果您使用的是管理用户 ID(一个在 mqm 组或 Windows Administrators 组中),那么绑定模式将起作用。

如果您必须通过客户端通道进行连接,则需要设置 MQ 以允许您的管理连接 and/or 低权限用户连接。您可以通过禁用 CHLAUTH 规则来做到这一点,但 强烈 不鼓励这种方法。了解 MQ 安全性的工作原理比禁用它要好得多。

您还可以定义允许连接的新 CHLAUTH 规则。默认的 CHLAUTH 规则如下所示:

dis CHLAUTH(*) all
     1 : dis CHLAUTH(*) all
AMQ8878: Display channel authentication record details.
   CHLAUTH(*)                              TYPE(BLOCKUSER)
   DESCR(Default rule to disallow privileged users)
   CUSTOM( )                               USERLIST(*MQADMIN)
   WARN(NO)                                ALTDATE(2015-05-28)
   ALTTIME(15.10.02)
AMQ8878: Display channel authentication record details.
   CHLAUTH(SYSTEM.ADMIN.SVRCONN)           TYPE(ADDRESSMAP)
   DESCR(Default rule to allow MQ Explorer access)
   CUSTOM( )                               ADDRESS(*)
   USERSRC(CHANNEL)                        CHCKCLNT(ASQMGR)
   ALTDATE(2015-05-28)                     ALTTIME(15.10.02)
AMQ8878: Display channel authentication record details.
   CHLAUTH(SYSTEM.*)                       TYPE(ADDRESSMAP)
   DESCR(Default rule to disable all SYSTEM channels)
   CUSTOM( )                               ADDRESS(*)
   USERSRC(NOACCESS)                       WARN(NO)
   ALTDATE(2015-05-28)                     ALTTIME(15.10.02)

请注意,第一条规则说要阻止任何频道上的管理员用户。您可以添加一条新规则,说明在您要用于管理员的频道上阻止某些非管理员用户。

runmqsc MYQMGRNAME

DEFINE CHL(MY.ADMIN.SVRCONN) CHLTYPE(SVRCONN) MCAUSER('*NOACCESS') REPLACE
DEFINE CHLAUTH(MY.ADMIN.SVRCONN) TYPE(ADDRESSMAP) ADDRESS(127.0.0.1) USERSRC(CHANNEL)
DEFINE CHLAUTH(MY.ADMIN.SVRCONN) TYPE(BLOCKUSER) USERLIST('*NOBODY')

DEF CHL 命令为管理员定义了一个新频道,并将 MCAUSER 设置为一个值以确保该频道不会启动。

第一个 CHLAUTH 规则告诉 MQ 将错误的 MCAUSER 替换为来自连接请求 的请求,前提是请求来自 127.0.0.1 且仅用于 MY.ADMIN.SVRCONN。这里填写你自己的IP地址。最好使用证书而不是 IP 地址来验证连接。

第二个CHLAUTH规则有点棘手。没有 'ALLOW USERS' 规则,因此我们必须使用 TYPE(BLOCKUSER) 类型的规则。但是当我们阻止用户时,我们必须提供他们的非空列表。我们需要的是一个 CHLAUTH 规则,其中频道名称比默认的 更具体,带有 USERLIST 包含 *MQADMIN 的值或您的实际用户 ID。我在这里使用 *NOBODY 是因为它很明显的目的是不阻止任何人,并且该值可以 永远不会 是实际的用户 ID。

定义一个仅供管理员使用的频道被认为是最佳实践。不是基于 IP 地址或主机名对管理员进行身份验证。使用管理员 ID 连接并配置 QMgr 后,请考虑充分了解 MQ 证书以对管理员连接进行强身份验证。 And/or 转到 V8.0 QMgr 和客户端,您可以在其中使用密码登录。