IBM WebSphere MQ MQI-Clientsicherheit einrichten

Sie müssen die IBM® WebSphere® MQ MQI-Clientsicherheit berücksichtigen, damit die Clientanwendungen keinen uneingeschränkten Zugriff auf Ressourcen auf dem Server haben.

Wenn Sie eine Clientanwendung ausführen, führen Sie die Anwendung nicht mit einer Benutzer-ID aus, die über mehr Zugriffsberechtigungen verfügt als erforderlich, z. B. ein Benutzer in der Gruppe mqm oder auch der mqm -Benutzer selbst.

Wenn Sie eine Anwendung als Benutzer mit zu vielen Zugriffsberechtigungen ausführen, laufen Sie Gefahr, dass der Zugriff auf die Anwendung und die Änderung von Teilen des Warteschlangenmanagers durch Zufall oder böswillig erfolgt.

Es gibt zwei Aspekte der Sicherheit zwischen einer Clientanwendung und ihrem WS-Manager-Server: Authentifizierung und Zugriffssteuerung.
  • Die Authentifizierung kann verwendet werden, um sicherzustellen, dass die Clientanwendung, die als bestimmter Benutzer ausgeführt wird, die Person ist, die sie angeben. Durch die Verwendung der Authentifizierung können Sie verhindern, dass ein Angreifer Zugriff auf Ihren Warteschlangenmanager erhält, indem Sie eine Ihrer Anwendungen impersonieren.

    Sie sollten die gegenseitige Authentifizierung in SSL oder TLS verwenden. Weitere Informationen hierzu finden Sie unter Mit SSL oder TLS arbeiten .

  • Die Zugriffssteuerung kann verwendet werden, um Zugriffsberechtigungen für einen bestimmten Benutzer oder eine bestimmte Gruppe von Benutzern zu erteilen oder zu entfernen. Wenn Sie eine Clientanwendung mit einem speziell erstellten Benutzer (oder einem Benutzer in einer bestimmten Gruppe) ausführen, können Sie die Zugriffssteuerungen verwenden, um sicherzustellen, dass die Anwendung nicht auf Teile Ihres Warteschlangenmanagers zugreifen kann, für die die Anwendung nicht vorgesehen ist.

    Wenn Sie die Zugriffssteuerung einrichten, müssen Sie die Kanalauthentifizierungsregeln und das MCAUSER-Feld in einem Kanal berücksichtigen. Bei beiden Funktionen besteht die Möglichkeit, die Benutzer-ID zu ändern, die für die Überprüfung der Zugriffsrechte verwendet wird.

    Weitere Informationen zur Zugriffssteuerung finden Sie unter Zugriff auf Objekte erteilen.

Wenn Sie eine Clientanwendung so konfiguriert haben, dass sie eine Verbindung zu einem bestimmten Kanal mit einer eingeschränkten ID herstellt, der Kanal jedoch eine Administrator-ID in ihrem MCAUSER-Feld hat, wenn die Clientanwendung erfolgreich verbunden ist, wird die Administrator-ID für den Zugriff auf Steuerprüfungen verwendet. Daher hat die Clientanwendung volle Zugriffsberechtigungen für Ihren Warteschlangenmanager.

Weitere Informationen zum Attribut MCAUSER finden Sie unter Zugesicherte Clientbenutzer-ID einer MCAUSER-Benutzer-ID zuordnen.

Kanalauthentifizierungsregeln können auch als Methode für die Steuerung des Zugriffs auf einen Warteschlangenmanager verwendet werden, indem bestimmte Regeln und Kriterien für die Annahme einer Verbindung festgelegt werden.

Weitere Informationen zu Kanalauthentifizierungsregeln finden Sie unter Kanalauthentifizierungsdatensätze.