MFT 针对安全性的消息格式
本主题描述发布到 Managed File Transfer 协调队列管理器的与安全性相关的消息。
未授权日志消息
如果启用了用户权限检查,那么代理可以将未授权消息发布到协调队列管理器。 在 MFT 代理程序操作上限制用户权限 描述了如何启用用户权限检查。
每当用户通过使用 Managed File Transfer 命令或使用 IBM® MQ Explorer 插件向代理程序提交执行受限操作的请求时,代理程序都会检查用户是否有权执行该操作。 如果用户未通过权限检查,那么会将一条未授权日志消息发布到协调队列管理器,该消息位于其 SYSTEM.FTE/Log/agent_name/NotAuthorized 主题中。
该消息符合 TransferLog.xsd XML 模式。 例如:
<?xml version="1.0" encoding="UTF-8"?>
<notAuthorized version="3.00"
ID="414d5120716d312020202020202020204da5924a2010ce03"
agentRole="sourceAgent"
xmlns:xsi="https://www.w3.org/2001/XMLSchema-instance"
xsi:noNamespaceSchemaLocation="TransferLog.xsd"
xmlns="">
<action time="2009-08-28T12:31:15.781Z">not_authorized</action>
<originator>
<mqmdUserID>test1</mqmdUserID>
</originator>
<authority>administration</authority>
<status resultCode="53">
<supplement>BFGCH0083E: The user (test1) does not have the authority (ADMINISTRATION) required to shut down agent 'AGENT'.</supplement>
<supplement>
<?xml version="1.0" encoding="UTF-8"?>
<internal:request version="3.00" xmlns:xsi="https://www.w3.org/2001/XMLSchema-instance"
xmlns:internal="http://wmqfte.ibm.com/internal">
<internal:shutdown agent="SYSTEM.FTE.COMMAND.AGENT" hostname= "qm1" mode="controlled"/>
<reply QMGR="qm1">WMQFTE.4A92A54D02CE1020</reply>
</internal:request>
</supplement>
</status>
</notAuthorized>该消息是一个包含以下信息的日志:
- 发起请求的人员
- 执行请求所需的 Managed File Transfer 访问权限级别
- 请求的状态
- 请求规范
了解未授权日志消息
下面描述了未授权消息中使用的元素和属性:
- <notAuthorized>
- 描述单个失败用户授权检查的组元素。
属性 描述 版本 指定此元素的版本,如 Managed File Transfer所详述。 标识 未授权的请求的唯一标识。 - <originator>
- 包含指定请求发起方的元素的组元素。
- <authority>
- 指定用户执行所请求操作所需的 Managed File Transfer 访问权限级别。
- <mqmdUserID>
- 消息描述符 (MQMD) 中提供的 IBM MQ 用户标识
- <action>
- 指定与 <notAuthorized> 元素的 ID 属性匹配的请求的权限状态。
属性 描述 时间 指定发布日志条目的日期和时间(采用日期时间格式)。 - <status>
- 结果代码和补充消息。