以下的 AUTHRECS 的建议值是多少,当然这需要根据自己的要求进行调整。
- 队列管理器
- 队列(本地、远程、dlq)
- channel (服务器连接、发送者、接收者等)
最佳答案
我通常告诉人们为了安全考虑考虑三个不同的组:
- QMgr 到 QMgr 连接归结为“我要向 RCVR/RQSTR/CLUSRCVR channel 的
MCAUSER
授予哪些身份验证?”此类别中的角色取决于您希望网络安全的粒度。但一般来说,相邻的 QMgr 不应该有权访问本地 QMgr 的命令队列。 channel 的 MCAUSER 连接到 QMgr 并进行查询,然后将其放置并设置到它实际需要的队列上。就是这样。 - 申请到 QMgr。这里的“应用程序”是指驻留在锁定的数据中心中的业务应用程序。这些应用程序通常需要连接并查询QMgr,然后对队列和主题进行放置、获取、浏览、发布、订阅。有时,他们需要更高级别的身份验证,例如为消息设置上下文信息的能力,但这种情况很少见,并且仅限于特定队列。
- 互动用户。该组中有各种角色,例如管理员、匿名用户以及介于两者之间的所有角色。这些可能需要访问权限来显示甚至管理除队列和主题之外的对象。
其中每一个都有非常不同的身份验证和授权要求。它们还具有不同的特征,例如消息量以及所需的帐户和授权的稳定性。
不过,它们确实有一些共同点。
- 将 QMgr 上的设置授予有权访问命令队列的任何人,使他们成为完全管理员。
- 授予用户创建队列(动态队列除外)的能力将使用户成为完全管理员。
- 任何连接或打开对象的操作都需要查询 QMgr 及其有权访问的对象。
- 业务应用程序需要对其队列和主题进行读/写访问,但不需要对其他类型的对象进行读/写访问。
- 检测通常需要访问许多对象类型,但不需要来读取或更新业务队列上的消息。
- 如果您要监控安全性,人类用户至少需要对所有对象具有显示访问权限。这是因为枚举对象(例如绘制队列屏幕)的唯一方法是执行相当于
DIS objType(*)
的 PCF。如果用户没有对objType
的所有对象的显示访问权限,则在发出显示时 QMgr 会发出授权错误。
关于ibm-mq - WebSphere MQ 推荐的 AUTHRECS,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/11799406/