Identifizierung und Authentifizierung von Benutzern durch die MQCSP-Struktur

Die Struktur IBM® MQ connection security parameters (MQCSP) enthält Anmeldedaten, die der Autorisierungsdienst zur Identifizierung und Authentifizierung des Benutzers verwenden kann. Anwendungen, die das Message Queue Interface (MQI) nutzen, verwenden die MQCSP-Struktur, um die Anmeldeinformationen zu steuern, die für die Authentifizierung verwendet werden. Sie können die MQCSP-Struktur bei einem MQCONNX-Aufruf angeben.

Die MQCSP-Struktur kann von Client-oder serverseitigen Sicherheitsexits geändert werden, auch wenn die Anwendung die MQCSP-Struktur nicht explizit bereitstellt. Eine Anwendung, die IBM MQ classes for JMS verwendet, stellt beispielsweise nicht explizit eine MQCSP-Struktur bereit. Ein Beispiel für einen clientseitigen Sicherheitsexit, der eine Benutzerkennung und ein Passwort in die MQCSP-Struktur einfügt, finden Sie unter Clientseitiger Sicherheitsexit zum Einfügen von Benutzerkennung und Passwort ( mqccred ).

Die MQCSP-Struktur enthält eine Benutzerkennung und ein Passwort oder ein Authentifizierungs-Token. Die folgenden Einschränkungen gelten für Berechtigungsnachweise, die in der MQCSP-Struktur bereitgestellt werden:

Eine Anwendung oder ein Exit muss entweder eine Benutzer-ID und ein Kennwort oder ein Authentifizierungstoken angeben, aber nicht beides.
Für den Zugriff auf IBM MQkönnen nur Authentifizierungstoken verwendet werden, die bestimmte Formate und Anforderungen erfüllen. Weitere Informationen über die Anforderungen für Authentifizierungstoken in IBM MQ finden Sie unter Anforderungen für Authentifizierungstoken.
Wenn die Identität im Authentifizierungstoken als Kontext für die Anwendung übernommen werden soll, muss das Token einen geeigneten Benutzeranspruch bereitstellen und der Anspruchswert muss eine gültige IBM MQ -Benutzer-ID sein. Beispielsweise muss der Benutzername die maximale Länge einhalten und Einschränkungen für Sonderzeichen. Weitere Informationen zum Übernehmen einer Benutzerkennung finden Sie unter Beziehung zwischen MQCSP- und ADOPTCTX-Einstellungen.

Weitere Informationen zur MQCSP-Struktur finden Sie unter MQCSP-Sicherheitsparameter.

Warnung: Die Berechtigungsnachweise in einer MQCSP-Struktur für eine Clientanwendung werden manchmal im Klartext über das Netz gesendet. Um sicherzustellen, dass die Anmeldeinformationen der Client-Anwendung geschützt sind, siehe MQCSP-Passwortschutz.

Beziehung zwischen MQCSP- und AdoptCTX-Einstellungen

IBM MQ authentifiziert immer Berechtigungsnachweise, die in der MQCSP-Struktur übergeben werden, wenn die Verbindungsauthentifizierungsfunktion aktiviert ist. Nach erfolgreicher Authentifizierung der Berechtigungsnachweise kann IBM MQ die Benutzer-ID für nachfolgende Berechtigungsprüfungen von Operationen übernehmen, die von der verbundenen Anwendung ausgeführt werden. Die Benutzer-ID in den MQCSP-Berechtigungsnachweisen wird übernommen, wenn das Authentifizierungsinformationsobjekt (AUTHINFO), das vom Attribut CONNAUTH des Warteschlangenmanagers referenziert wird, mit ADOPTCTX(YES)definiert wird.

IBM MQ hat eine Längenbegrenzung für Benutzer-IDs, die für Berechtigungsprüfungen verwendet werden können. Weitere Informationen zu diesen Grenzen finden Sie unter Benutzeridentitäten in IBM MQ. Wenn eine Benutzer-ID, die in der MQCSP-Struktur übergeben wird, übernommen wird, verhält sich IBM MQ abhängig von anderen Konfigurationsoptionen unterschiedlich:

Bei Verwendung der LDAP-Verbindungsauthentifizierung übernimmt IBM MQ die Benutzer-ID, die sich im kurzen Benutzernamensattribut des LDAP-Datensatzes des Benutzers befindet. Das Attribut für den kurzen Benutzernamen wird mit dem Attribut SHORTUSR des AUTHINFO-Objekts festgelegt.
Wenn beispielsweise SHORTUSR auf 'CN'gesetzt ist und der LDAP-Datensatz den Benutzer als 'CN=Test,SN=MQ,O=IBM,C=UK'auflistet, wird die Benutzer-ID Test verwendet.
Bei Verwendung der OS-Verbindungsauthentifizierung oder der PAM-Authentifizierung wird die in der MQCSP-Struktur übergebene Benutzerkennung abgeschnitten, um die 12-Zeichen-Benutzerkennung von IBM MQ einzuhalten, wenn sie als Verbindungskontext übernommen wird, wenn ADOPTCTX YES ist.

Bei Verwendung der OS-Verbindungsauthentifizierung oder der PAM-Authentifizierung wird die Übernahme eines längeren Benutzernamens in seiner Gesamtheit auf einigen Serverplattformen von IBM MQ 9.4.3 unterstützt. Siehe AllowLongUID. Beachten Sie jedoch, dass eine verkürzte Form immer noch im Nachrichtenidentitätskontext übergeben wird (das Feld UserIdentity in der MQMD). Für Plattformen und Versionen, die die Übernahme eines längeren Benutzernamens nicht unterstützen, wird die in der MQCSP-Struktur übergebene Benutzerkennung bei der Übernahme als Verbindungskontext abgeschnitten, um die 12-Zeichen-Benutzerkennung von IBM MQ einzuhalten, wenn ADOPTCTX YES ist.

Wenn ChlAuthEarlyAdopt in der Datei qm.ini aktiviert ist, was standardmäßig der Fall ist, können Sie eine Benutzerkennung, die länger als 12 Zeichen ist, an die MQCSP übergeben (z. B. eine Windows -Domänenbenutzerkennung in der Form user@domain), ohne einen Fehler zu erzeugen. Der Grund dafür ist, dass die Kürzung nach der Authentifizierung der Benutzerdaten erfolgt.
Wenn ChlAuthEarlyAdopt nicht aktiviert ist, erfolgt das Abschneiden vor der Übernahme. Dies kann dazu führen, dass eine Domänenspezifikation nicht gültig ist. Wenn z. B. ein Benutzer ibmmq@windowsdomain über die MQCSP bereitgestellt wird und ChlAuthEarlyAdopt nicht aktiviert ist, wird der Benutzername zu ibmmq@window abgeschnitten und der folgende Fehler wird angezeigt:
```
AMQ8074W: Die Berechtigung ist fehlgeschlagen, da die SID 'SID' nicht mit der Entität 'ibmmq@window' übereinstimmt.
```
Alternativ dazu können Sie ADOPTCTX(NO) in der CONNAUTH AUTHINFO-Konfiguration verwenden und die Benutzer-ID für den Kanal auf andere Weise festlegen. For example:
- eine CHLAUTH USERMAP-Regel
- ein Sicherheitsausgang
- die Einstellung des Kanalobjekts MCAUSER