Creación de nuevas reglas CHLAUTH para usuarios

Algunos escenarios comunes para los usuarios y reglas CHLAUTH de ejemplo para lograrlos.

Antes de empezar

Nota: Los pasos de esta tarea requieren que ejecute mandatos MQSC. El modo de hacerlo varía según la plataforma. Consulte Administración de IBM® MQ utilizando mandatos MQSC.

Acerca de esta tarea

Existen tres reglas predeterminadas para el proceso de CHLAUTH:
  • NO ACCESS (sin acceso) en todos los canales por parte de usuarios MQ-admin*
  • NO ACCESO a todos los SYSTEM.* canales por todos los usuarios
  • ALLOW (permitir) acceso al canal SYSTEM.ADMIN.SVRCONN (usuarios no MQ-admin)
Las primeras dos reglas bloquean el acceso a todos los canales. La tercera regla es más específica y, por lo tanto, tiene prioridad sobre las otras dos, si el canal es el canal SYSTEM.ADMIN.SVRCONN, permitiendo así el acceso a dicho canal.

Para crear nuevas reglas CHLAUTH para los usuarios, configure uno o varios de los escenarios siguientes.

Procedimiento

  • Control de acceso para usuarios específicos de MQ-admin
    1. Configure un canal de conexión de servidor que se utilizará exclusivamente para una perspectiva administrativa, es decir, para conectarse desde IBM MQ Explorer.

      Tiene un canal específico para este uso y la dirección o direcciones IP definidas, desde las cuales desea que se acepten conexiones, y el acceso bloqueado para el ID 'mqm', si la conexión no procede de una de las direcciones IP especificadas.

    2. Cree un canal SVRCONN para los usuarios de IBM MQ Explorer y MQ-admin denominado ADMIN.CHAN.
      Ejecute el siguiente mandato MQSC:
      DEFINE CHANNEL (ADMIN.CHAN) CHLTYPE (SVRCONN) TRPTYPE (TCP)
    3. Para las pruebas, asegúrese de que tiene un usuario definido que está en el grupo MQ-admin y uno que no lo está.

      Para este escenario, mqadm está en el grupo MQ-admin y alice no lo está.

    4. Confirme que las reglas CHLAUTH predeterminadas están en su lugar.
    5. Añada tres reglas para permitir que un usuario específico acceda a ADMIN.CHAN como MQ-admin desde determinadas direcciones IP:
      • Establecer NOACCESS desde cualquier dirección
      • Establecer BLOCKUSER para este canal para solo bloquear el usuario nobody, que altera temporalmente el *MQADMIN BLOCKUSER
      • ALLOW acceso al usuario mqadm en una subred específica de direcciones y MAP con la autoridad de usuario mqadm

      Para ello, ejecute los siguientes mandatos MQSC:

      
SET CHLAUTH (ADMIN.CHAN) TYPE(ADDRESSMAP) ADDRESS('*') USERSRC(NOACCESS)
SET CHLAUTH('ADMIN.CHAN') TYPE(BLOCKUSER) +
DESCR('Rule to override *MQADMIN blockuser on this channel') +
USERLIST('nobody') ACTION(replace)
SET CHLAUTH('ADMIN.CHAN') TYPE(USERMAP) +
CLNTUSER('mqadm') USERSRC(MAP) MCAUSER('mqadm') +
ADDRESS('192.168.1.*') +
DESCR('Allow mqadm as mqadm on local subnet') ACTION(ADD)
      En este punto, el usuario mqadm puede acceder e iniciar el canal ADMIN.CHAN, desde el rango de direcciones IP especificado.
    6. Opcional: Puede ejecutar el mandato MQSC MATCH (RUNCHECK) en cualquier momento para ver los resultados de cada uno de estos mandatos:
      
DISPLAY CHLAUTH (ADMIN.CHAN) MATCH (RUNCHECK) CLNTUSER ('mqadm') ADDRESS
('192.168.1.138')
AMQ8878: Display channel authentication record details.
CHLAUTH(ADMIN.CHAN) TYPE(USERMAP)
ADDRESS(192.168.1.*) CLNTUSER(mqadm)
MCAUSER(mqadm)
      
DISPLAY CHLAUTH (ADMIN.CHAN) MATCH (RUNCHECK) CLNTUSER ('alice') ADDRESS
('192.168.1.138')
AMQ8878: Display channel authentication record details.
CHLAUTH(ADMIN.CHAN) TYPE(ADDRESSMAP)
ADDRESS(*) USERSRC(NOACCESS)

      En este punto, solo los usuarios que tienen un registro CHLAUTH están autorizados para acceder al uso de ADMIN.CHAN.

  • Control de acceso para un usuario específico y una aplicación cliente de IBM MQ

    Para este escenario, las reglas CHLAUTH predeterminadas son adecuadas, suponiendo que se debe establecer la autorización IBM MQ para un usuario específico, para proporcionar la autorización IBM MQ correcta (utilizando setmqaut).

    En este escenario, las autorizaciones se establecen para un usuario mqapp1, que no es un usuario MQ-admin.

    1. Utilice el siguiente mandato MQSC para crear un canal SVRCONN, APP1.CHAN, que utilizará una aplicación determinada y un usuario específico.
      
DEFINE CHANNEL (APP1.CHAN) CHLTYPE (SVRCONN) TRPTYPE (TCP)
    2. Con las reglas CHLAUTH predeterminadas en vigor, el usuario mqapp1 puede iniciar APP1.CHAN .

      El ID de usuario procedente de la aplicación cliente IBM MQ se utiliza para la comprobación de autorización sobre objetos de IBM MQ . En este caso, suponiendo que el usuario mqapp1 esté ejecutando la aplicación cliente IBM MQ , se utiliza para la comprobación de autorización sobre objetos de IBM MQ . Por lo tanto, si mqapp1 tiene acceso a los objetos IBM MQ que la aplicación necesita, todo está bien; si no es así, obtendrá errores de autorización.

      Puede aumentar más la seguridad creando reglas CHLAUTH específicas para el ID de usuario mqapp1, pero bajo las reglas predeterminadas, ningún miembro del grupo MQ-admin puede acceder a este canal.

      Ejecute los siguientes mandatos MQSC:
      
SET CHLAUTH (APP1.CHAN) TYPE(ADDRESSMAP) ADDRESS('*') USERSRC(NOACCESS)
SET CHLAUTH('APP1.CHAN') TYPE(USERMAP) +
CLNTUSER('mqapp1') USERSRC(MAP) MCAUSER('mqapp1') +
DESCR('Allow mqapp1 as mqapp1 on local subnet') ACTION(ADD)
  • Controlar el acceso para un usuario específico utilizando el nombre distinguido (DN) de certificado de dicho usuario

    Para este escenario, el usuario debe tener un certificado que se haya trasladado al gestor de colas. A continuación, el DN se compara con el valor SSLPEER de la regla CHLAUTH y SSLPEER puede utilizar caracteres comodín.

    Si coincide, el usuario también se puede correlacionar con un MCAUSER diferente con el fin de comprobar las autorizaciones sobre objetos de IBM MQ . La correlación de MCAUSER puede minimizar el número de usuarios que es necesario gestionar en el gestor de autorizaciones sobre objetos (OAM) de IBM MQ .

    1. Tiene un canal TLS con certificados en uso, y necesita reglas para:
      • Bloquear a todos los usuarios para un canal determinado
      • Permitir solo a los usuarios con un SSLPEER determinado que utilicen el cliente de dicho usuario para el acceso de OAM de IBM MQ .
      Ejecute los siguientes mandatos MQSC:
      .
# block all users on any IP address.
SET CHLAUTH('SSL1.SVRCONN') TYPE(ADDRESSMAP) ADDRESS('*')
USERSRC(NOACCESS) DESCR(''block all'') WARN(NO) ACTION(ADD)
.
# override - no MQM admin rule (allow mqm group /mqm admin users to
connect.
SET CHLAUTH('SSL1.SVRCONN') TYPE(BLOCKUSER) USERLIST('nobody')
DESCR('override no mqm admin rule') WARN(NO) ACTION(ADD)
.
# allow particular SSLPEER, use client id coming in from channel
SET CHLAUTH('SSL1.SVRCONN') TYPE(SSLPEERMAP)
SSLPEER('CN=JOHNDOE,O=IBM,C=US') USERSRC(CHANNEL) ACTION(ADD)

      El ID de usuario de cliente que se conecta en el canal se utiliza para la autorización de IBM MQ OAM de objetos IBM MQ ; por lo tanto, el ID de usuario debe tener las autorizaciones de IBM MQ adecuadas.

    2. Opcional: Correlacione con un ID de usuario de IBM MQ diferente.

      Vuelva a ejecutar el mandato MQSC anterior, sustituyendo USERSRC(MAP) MCAUSER('mquser1') por USERSRC(CHANNEL).

  • Correlacione un usuario determinado con el usuario mqm

    Se trata de una adición o modificación a Control de acceso para usuarios específicos de MQ-admin.

    Utilice los mandatos MQSC para añadir la siguiente regla CHLAUTH para correlacionar usuarios concretos con el usuario mqm , o un ID de usuario MQ-admin , que tenga la autorización de objeto IBM MQ configurada en el OAM de IBM MQ .
    
SET CHLAUTH('ADMIN.CHAN') TYPE(USERMAP) +
CLNTUSER ('johndoe') USERSRC(MAP) MCAUSER ('mqm') +
ADDRESS('192.168.1-100.*') +
DESCR ('Allow johndoe as MQ-admin on local subnet') ACTION (ADD)

    Esto habilita y correlaciona el usuario johndoe a través del usuario mqm para el canal ADMIN.CHAN concreto.