发布 MFT 代理程序日志和状态消息的权限

有关 IBM MQ 安全性的更多信息，请参阅以 保护 IBM MQ开头的部分。

Managed File Transfer 代理程序会将要发布的消息流至 SYSTEM.FTE 队列。 每条消息都在其消息描述符 (MQMD) 中具有一个用户标识。 消息使用又名为 SYSTEM.FTE 的主题对象进行发布。 要发布给定的消息，SYSTEM.FTE 主题的权限记录必须允许消息的 MQMD 中所包含的用户标识进行发布。

在 z/OS 上，通道启动程序用户标识需要具有发布到 SYSTEM.FTE 主题的访问权限。 如果 RESLEVEL 安全概要文件 导致检查两个用户标识是否存在通道启动程序连接，那么消息的 MQMD 中的用户标识也需要访问权才能发布到此主题。

最初包含在消息中的用户标识取决于代理连接到其自身队列管理器的方式。 来自与绑定连接的代理的消息包含用于运行代理的用户标识。 来自客户机连接的代理程序的消息包含内部 IBM MQ 用户标识。

您可以更改消息中的用户标识。 对于同时与客户机和绑定连接的代理，可以使用属性 publicationMDUser（在 agent.properties 文件中）来指定用户标识，该标识用于来自该代理的所有日志和状态消息。 必须由代理自身的队列管理器授予其使用该备用用户标识的许可权； 通过将 setid 权限授予用于运行代理的用户标识来授予该许可权。

您还可以在代理用于连接其队列管理器的通道上使用 MCAUSER 属性，更改来自与客户机连接代理的所有消息中包含的用户标识。

您可以使用通道出口更改消息中的用户标识，例如，在使消息进入协调队列管理器的接收方通道上。