![[IBM i]](ngibmi.gif)
IBM MQ for IBM i 对象的安全性
本部分涉及安全性的远程消息传递方面。
您必须为用户提供使用 IBM® MQ for IBM i 工具的权限。 此权限根据要对对象和定义执行的操作进行组织。 例如:
- 队列管理器可由授权用户启动和停止
- 应用程序需要连接到队列管理器,并且具有使用队列的权限
- 需要由授权用户创建和控制消息通道
远程站点上的消息通道代理程序必须检查所传递的消息是否派生自有权对此远程站点上的消息进行认证的用户。 此外,由于可以远程启动 MCA ,因此可能需要验证尝试启动 MCA 的远程进程是否有权执行此操作。 您可以通过以下四种方法来处理此问题:
- 通道定义中的法令,即消息必须包含可接受的 上下文 权限,否则将废弃这些权限。
- 实现通道认证记录以拒绝不需要的连接尝试,或者基于下列其中一项来设置 MCAUSER 值: 远程 IP 地址,远程用户标识,提供的 TLS 专有名称 (DN) 或远程队列管理器名称。
- 实施用户出口安全检查,以确保相应的消息通道获得授权。 托管相应通道的安装的安全性可确保所有用户都获得正确授权,因此您不需要检查个别消息。
- 实现用户出口消息处理,以确保对个别消息进行审核以进行授权。
以下是有关 IBM MQ for IBM i 操作安全性方式的一些事实:
- 用户由 IBM i进行标识和认证。
- 应用程序调用的队列管理器服务以队列管理器用户概要文件的权限运行,但在用户的进程中运行。
- 用户命令调用的队列管理器服务以队列管理器用户概要文件的权限运行。