用于访问敏感配置信息的 MFT 许可权

用于存储敏感配置信息的任何文件 (表示从 IBM® MQ 配置树引用的任何文件) 不得具有系统范围的读,写或 (如果适用) 删除许可权。 这些限制也适用于信任库和密钥库文件。

如果 Managed File Transfer 进程检测到以下情况: 配置文件包含敏感信息,是密钥库或信任库文件,并且具有系统范围的读,写或删除许可权,那么该进程将执行下列其中一项操作:
  • 如果是在启动时检测到该情况,那么无法启动。
  • 如果是在运行时检测到该情况,那么生成警告消息并忽略该配置文件的内容。 这与协议网桥和 Connect:Direct® 网桥相关,后者用于在进程运行期间更改配置时重新装入配置。

在具有 UNIX 类型文件系统的系统上

确定某个文件是否具有不可接受的系统范围许可权的条件为:

  • 已向其他类授予对该文件的读许可权
  • 已向其他类授予对该文件的写许可权
  • 已向其他类授予对包含该文件的目录的写许可权

Windows 系统上

确定某个文件是否具有不可接受的系统范围许可权的条件为:

  • Everyone、Guests、Users 组中的任何组具有以下任何许可权:
    • 对该文件的“读数据”许可权
    • 对该文件的“附加数据”许可权
    • 对该文件的“写数据”许可权
  • Everyone、Guests 或 Users 组中的任何组具有对包含该文件的文件夹的“创建文件”许可权,并且还具有以下任何许可权:
    • 对包含该文件的文件夹的“删除子文件夹和文件”许可权
    • 对该文件的删除许可权