安全性

将 IBM® WebSphere® MQ basic part 添加到虚拟系统模式时，或者在部署该模式时，可以在任何用户登录之前定制 IBM WebSphere MQ 安全设置。

IBM WebSphere MQ basic part 的缺省安全性

首次在 IBM WebSphere MQ virtual system instance中部署 IBM WebSphere MQ basic part 时，部署过程将创建具有主组 mqm的用户 mqm 。未分配有密码，因此缺省情况下，您不能使用 mqm 用户标识进行登录。部署过程会以 mqm 用户身份运行，以创建和配置队列管理器。

当部署虚拟机时，部署过程会再创建两个用户 root 和 virtuser。如果这些用户运行 sudo -u mqm command 命令，那么他们有权使用 mqm 组的权限来运行 command 。用户本身不是 mqm 组的成员。

将授权用户添加到 IBM WebSphere MQ basic part

IBM WebSphere MQ basic part 具有您可以设置的安全属性 Authorized users¹ 。您可以定义以空格分隔的用户标识列表。部署过程将创建每个用户标识，并使其成为具有相同名称的主组的成员。

部署过程会将授权用户标识添加到可运行命令 sudo -u mqm command的用户标识列表中。授权用户标识在命令持续时间内获取 mqm 组权限。

每个用户及其主组都具有 IBM WebSphere MQ 管理权限; 请参阅图 1。

图 1。授予授权用户的管理权限

* These commands give user '@authuser@' full administrative access.
SET AUTHREC OBJTYPE(QMGR)                   PRINCIPAL('@authuser@') AUTHADD(CONNECT,INQ,ALLADM)
SET AUTHREC OBJTYPE(QUEUE)    PROFILE('**') PRINCIPAL('@authuser@') AUTHADD(ALLADM,CRT)
SET AUTHREC OBJTYPE(TOPIC)    PROFILE('**') PRINCIPAL('@authuser@') AUTHADD(ALLADM,CRT)
SET AUTHREC OBJTYPE(CHANNEL)  PROFILE('**') PRINCIPAL('@authuser@') AUTHADD(ALLADM,CRT)
SET AUTHREC OBJTYPE(PROCESS)  PROFILE('**') PRINCIPAL('@authuser@') AUTHADD(ALLADM,CRT)
SET AUTHREC OBJTYPE(NAMELIST) PROFILE('**') PRINCIPAL('@authuser@') AUTHADD(ALLADM,CRT)
SET AUTHREC OBJTYPE(AUTHINFO) PROFILE('**') PRINCIPAL('@authuser@') AUTHADD(ALLADM,CRT)
SET AUTHREC OBJTYPE(CLNTCONN) PROFILE('**') PRINCIPAL('@authuser@') AUTHADD(ALLADM,CRT)
SET AUTHREC OBJTYPE(LISTENER) PROFILE('**') PRINCIPAL('@authuser@') AUTHADD(ALLADM,CRT)
SET AUTHREC OBJTYPE(SERVICE)  PROFILE('**') PRINCIPAL('@authuser@') AUTHADD(ALLADM,CRT)
SET AUTHREC OBJTYPE(COMMINFO) PROFILE('**') PRINCIPAL('@authuser@') AUTHADD(ALLADM,CRT)
* The following commands provide '@authuser@' with administrative access for MQ Explorer.
SET AUTHREC OBJTYPE(QUEUE) PROFILE(SYSTEM.MQEXPLORER.REPLY.MODEL) PRINCIPAL('@authuser@') AUTHADD(DSP,INQ,GET)
SET AUTHREC OBJTYPE(QUEUE) PROFILE(SYSTEM.ADMIN.COMMAND.QUEUE)    PRINCIPAL('@authuser@') AUTHADD(DSP,INQ,PUT)

从任何 IP 地址远程连接到 IBM WebSphere MQ Explorer 的用户可以采用授权用户的身份。为防止此安全漏洞，部署过程将除去缺省通道认证规则; 请参阅图 2。除去此规则将阻止任何人知道授权用户对 IBM WebSphere MQ Explorer的访问权的身份。对 IBM WebSphere MQ 缺省配置的此更改还会除去授权用户对 IBM WebSphere MQ Explorer 的远程访问权。您可以将许可权扩展回有限的 TCP/IP 地址集; 请参阅为远程管理定义授权 IP 地址。

图 2。允许远程访问 IBM WebSphere MQ Explorer 的缺省通道认证规则

CHLAUTH(SYSTEM.ADMIN.SVRCONN)              TYPE(ADDRESSMAP)
   DESCR(Default rule to allow MQ Explorer access)
   CUSTOM( )                               ADDRESS(*)
   MCAUSER( )                              USERSRC(CHANNEL)
   WARN(NO)                                ALTDATE(2012-07-05)
   ALTTIME(12.08.09)

部署过程授予授权用户标识以远程连接到队列管理器的许可权。它为服务器连接通道 SYSTEM.DEF.SVRCONN 和 SYSTEM.ADMIN.SVRCONN添加通道认证记录; 请参阅图 3。它将权限限制为本地 TCP/IP 地址 127.0.0.1以及已认证的授权用户。

图 3。已从 TCP/IP 地址 127.0.0.1 向授权用户授予通道权限

* This command gives @authuser@ authority to connect as a client from localhost to run MQ Explorer.
SET CHLAUTH('SYSTEM.ADMIN.SVRCONN') TYPE(USERMAP) USERSRC(CHANNEL) ADDRESS('127.0.0.1') +
CLNTUSER('@authuser@')  DESCR('Only @authuser@ locally') ACTION(ADD)
* This command gives @authuser@ authority to connect as am mqi client from localhost.
SET CHLAUTH('SYSTEM.DEF.SVRCONN') TYPE(USERMAP) USERSRC(CHANNEL) ADDRESS('127.0.0.1') +
CLNTUSER('@authuser@') DESCR('Only @authuser@ locally') ACTION(ADD)

为远程管理定义授权 IP 地址

IBM WebSphere MQ basic part 部件具有您可以设置的安全属性 Authorized IP addresses¹ 。定义单个 IP 地址或一组 IP 地址; 请参阅通用 IP 地址。

部署过程定义所选 IP 地址的服务器连接通道授权; 请参阅图 4。

授权允许任何用户从具有管理员权限的授权 IP 地址启动 IBM WebSphere MQ Explorer 。要使服务器连接通道启动 IBM WebSphere MQ Explorer，还必须定义授权用户。

重要信息: 授权会削弱 IBM WebSphere MQ virtual system instance的安全性。任何用户都可以从您定义的 IP 地址管理 IBM WebSphere MQ 。要加强安全性，必须限制授权用户对这些 IP 地址的访问权。

图 4：授予所选 IP 地址的通道权限

* This command gives anyone authority to connect as a client from specific IP addresses to run MQ Explorer.
DEFINE CHANNEL(SYSTEM.ADMIN.SVRCONN) CHLTYPE(SVRCONN) REPLACE
SET CHLAUTH('SYSTEM.ADMIN.SVRCONN') TYPE(ADDRESSMAP) USERSRC(MAP) ADDRESS('@ipaddress@') +
MCAUSER('@authuser@') DESCR('Always @authuser@ from specified IP') ACTION(ADD)