Websphere 7.5 添加用户
Web Sphere 7.5 Add user
如何在 WebSphere 7.5 MQ Explorer 中将新用户添加到我的队列中?
我有 90 天试用版,但没有管理员控制台:/我不知道为什么...
我想连接到放置在我服务器上的队列,但我无法使用管理员帐户连接。
MQ Explorer 不允许更改 O/S,因此您必须先通过其他方式在 O/S 中创建用户。
但是,如果您的用户 ID 存在,那么您可以使用 MQ Explorer 授予该用户对队列的访问权限。在资源管理器中调出队列列表,然后右键单击您希望将用户添加到其权限的队列。 Select 对象权限 -> 管理权限记录...这将打开允许您将组或用户添加到队列的向导。
您还需要允许该用户连接到我怀疑的队列管理器?
首先,获取产品名称为 MQ Advanced for Developers 的未过期版本。在撰写本文时,它在 v7.5 和 v8.0 中可用并且是免费的。如果您需要支持,IBM 会让您为此砸钱,但功能齐全、不会过期的产品是免费的。
MQ 现在默认安全交付。当您第一次创建队列管理器时,它会拒绝客户端通道上的管理连接。它将允许非管理员频道超过 SYSTEM.ADMIN.SVRCONN,除非您明确授权非管理员频道对 QMgr 没有任何权限。
(从 v8.0 开始,QMgr 也默认设置为需要 ID 和密码,但使用 MQ v7.5 无需担心这一点。)
如果您正在使用 Linux 或 Windows QMgr 并且可以在安装 QMgr 的主机上启动 MQ Explorer,请使用绑定模式而不是通道连接到 QMgr。如果您使用的是管理用户 ID(一个在 mqm 组或 Windows Administrators 组中),那么绑定模式将起作用。
如果您必须通过客户端通道进行连接,则需要设置 MQ 以允许您的管理连接 and/or 低权限用户连接。您可以通过禁用 CHLAUTH 规则来做到这一点,但 强烈 不鼓励这种方法。了解 MQ 安全性的工作原理比禁用它要好得多。
您还可以定义允许连接的新 CHLAUTH 规则。默认的 CHLAUTH 规则如下所示:
dis CHLAUTH(*) all
1 : dis CHLAUTH(*) all
AMQ8878: Display channel authentication record details.
CHLAUTH(*) TYPE(BLOCKUSER)
DESCR(Default rule to disallow privileged users)
CUSTOM( ) USERLIST(*MQADMIN)
WARN(NO) ALTDATE(2015-05-28)
ALTTIME(15.10.02)
AMQ8878: Display channel authentication record details.
CHLAUTH(SYSTEM.ADMIN.SVRCONN) TYPE(ADDRESSMAP)
DESCR(Default rule to allow MQ Explorer access)
CUSTOM( ) ADDRESS(*)
USERSRC(CHANNEL) CHCKCLNT(ASQMGR)
ALTDATE(2015-05-28) ALTTIME(15.10.02)
AMQ8878: Display channel authentication record details.
CHLAUTH(SYSTEM.*) TYPE(ADDRESSMAP)
DESCR(Default rule to disable all SYSTEM channels)
CUSTOM( ) ADDRESS(*)
USERSRC(NOACCESS) WARN(NO)
ALTDATE(2015-05-28) ALTTIME(15.10.02)
请注意,第一条规则说要阻止任何频道上的管理员用户。您可以添加一条新规则,说明在您要用于管理员的频道上阻止某些非管理员用户。
runmqsc MYQMGRNAME
DEFINE CHL(MY.ADMIN.SVRCONN) CHLTYPE(SVRCONN) MCAUSER('*NOACCESS') REPLACE
DEFINE CHLAUTH(MY.ADMIN.SVRCONN) TYPE(ADDRESSMAP) ADDRESS(127.0.0.1) USERSRC(CHANNEL)
DEFINE CHLAUTH(MY.ADMIN.SVRCONN) TYPE(BLOCKUSER) USERLIST('*NOBODY')
DEF CHL 命令为管理员定义了一个新频道,并将 MCAUSER 设置为一个值以确保该频道不会启动。
第一个 CHLAUTH 规则告诉 MQ 将错误的 MCAUSER 替换为来自连接请求 的请求,前提是请求来自 127.0.0.1 且仅用于 MY.ADMIN.SVRCONN。这里填写你自己的IP地址。最好使用证书而不是 IP 地址来验证连接。
第二个CHLAUTH规则有点棘手。没有 'ALLOW USERS' 规则,因此我们必须使用 TYPE(BLOCKUSER) 类型的规则。但是当我们阻止用户时,我们必须提供他们的非空列表。我们需要的是一个 CHLAUTH 规则,其中频道名称比默认的 和 更具体,带有 USERLIST 不 包含 *MQADMIN 的值或您的实际用户 ID。我在这里使用 *NOBODY 是因为它很明显的目的是不阻止任何人,并且该值可以 永远不会 是实际的用户 ID。
定义一个仅供管理员使用的频道被认为是最佳实践。不是基于 IP 地址或主机名对管理员进行身份验证。使用管理员 ID 连接并配置 QMgr 后,请考虑充分了解 MQ 证书以对管理员连接进行强身份验证。 And/or 转到 V8.0 QMgr 和客户端,您可以在其中使用密码登录。
如何在 WebSphere 7.5 MQ Explorer 中将新用户添加到我的队列中? 我有 90 天试用版,但没有管理员控制台:/我不知道为什么...
我想连接到放置在我服务器上的队列,但我无法使用管理员帐户连接。
MQ Explorer 不允许更改 O/S,因此您必须先通过其他方式在 O/S 中创建用户。
但是,如果您的用户 ID 存在,那么您可以使用 MQ Explorer 授予该用户对队列的访问权限。在资源管理器中调出队列列表,然后右键单击您希望将用户添加到其权限的队列。 Select 对象权限 -> 管理权限记录...这将打开允许您将组或用户添加到队列的向导。
您还需要允许该用户连接到我怀疑的队列管理器?
首先,获取产品名称为 MQ Advanced for Developers 的未过期版本。在撰写本文时,它在 v7.5 和 v8.0 中可用并且是免费的。如果您需要支持,IBM 会让您为此砸钱,但功能齐全、不会过期的产品是免费的。
MQ 现在默认安全交付。当您第一次创建队列管理器时,它会拒绝客户端通道上的管理连接。它将允许非管理员频道超过 SYSTEM.ADMIN.SVRCONN,除非您明确授权非管理员频道对 QMgr 没有任何权限。
(从 v8.0 开始,QMgr 也默认设置为需要 ID 和密码,但使用 MQ v7.5 无需担心这一点。)
如果您正在使用 Linux 或 Windows QMgr 并且可以在安装 QMgr 的主机上启动 MQ Explorer,请使用绑定模式而不是通道连接到 QMgr。如果您使用的是管理用户 ID(一个在 mqm 组或 Windows Administrators 组中),那么绑定模式将起作用。
如果您必须通过客户端通道进行连接,则需要设置 MQ 以允许您的管理连接 and/or 低权限用户连接。您可以通过禁用 CHLAUTH 规则来做到这一点,但 强烈 不鼓励这种方法。了解 MQ 安全性的工作原理比禁用它要好得多。
您还可以定义允许连接的新 CHLAUTH 规则。默认的 CHLAUTH 规则如下所示:
dis CHLAUTH(*) all
1 : dis CHLAUTH(*) all
AMQ8878: Display channel authentication record details.
CHLAUTH(*) TYPE(BLOCKUSER)
DESCR(Default rule to disallow privileged users)
CUSTOM( ) USERLIST(*MQADMIN)
WARN(NO) ALTDATE(2015-05-28)
ALTTIME(15.10.02)
AMQ8878: Display channel authentication record details.
CHLAUTH(SYSTEM.ADMIN.SVRCONN) TYPE(ADDRESSMAP)
DESCR(Default rule to allow MQ Explorer access)
CUSTOM( ) ADDRESS(*)
USERSRC(CHANNEL) CHCKCLNT(ASQMGR)
ALTDATE(2015-05-28) ALTTIME(15.10.02)
AMQ8878: Display channel authentication record details.
CHLAUTH(SYSTEM.*) TYPE(ADDRESSMAP)
DESCR(Default rule to disable all SYSTEM channels)
CUSTOM( ) ADDRESS(*)
USERSRC(NOACCESS) WARN(NO)
ALTDATE(2015-05-28) ALTTIME(15.10.02)
请注意,第一条规则说要阻止任何频道上的管理员用户。您可以添加一条新规则,说明在您要用于管理员的频道上阻止某些非管理员用户。
runmqsc MYQMGRNAME
DEFINE CHL(MY.ADMIN.SVRCONN) CHLTYPE(SVRCONN) MCAUSER('*NOACCESS') REPLACE
DEFINE CHLAUTH(MY.ADMIN.SVRCONN) TYPE(ADDRESSMAP) ADDRESS(127.0.0.1) USERSRC(CHANNEL)
DEFINE CHLAUTH(MY.ADMIN.SVRCONN) TYPE(BLOCKUSER) USERLIST('*NOBODY')
DEF CHL 命令为管理员定义了一个新频道,并将 MCAUSER 设置为一个值以确保该频道不会启动。
第一个 CHLAUTH 规则告诉 MQ 将错误的 MCAUSER 替换为来自连接请求 的请求,前提是请求来自 127.0.0.1 且仅用于 MY.ADMIN.SVRCONN。这里填写你自己的IP地址。最好使用证书而不是 IP 地址来验证连接。
第二个CHLAUTH规则有点棘手。没有 'ALLOW USERS' 规则,因此我们必须使用 TYPE(BLOCKUSER) 类型的规则。但是当我们阻止用户时,我们必须提供他们的非空列表。我们需要的是一个 CHLAUTH 规则,其中频道名称比默认的 和 更具体,带有 USERLIST 不 包含 *MQADMIN 的值或您的实际用户 ID。我在这里使用 *NOBODY 是因为它很明显的目的是不阻止任何人,并且该值可以 永远不会 是实际的用户 ID。
定义一个仅供管理员使用的频道被认为是最佳实践。不是基于 IP 地址或主机名对管理员进行身份验证。使用管理员 ID 连接并配置 QMgr 后,请考虑充分了解 MQ 证书以对管理员连接进行强身份验证。 And/or 转到 V8.0 QMgr 和客户端,您可以在其中使用密码登录。