将 IBM® WebSphere® MQ basic part 添加到虚拟系统模式时,或者在部署该模式时,可以在任何用户登录之前定制 IBM WebSphere MQ 安全设置。
IBM WebSphere MQ basic part 的缺省安全性
首次在 IBM WebSphere MQ virtual system instance中部署 IBM WebSphere MQ basic part 时,部署过程将创建具有主组 mqm
的用户 mqm
。 未分配有密码,因此缺省情况下,您不能使用 mqm
用户标识进行登录。 部署过程会以 mqm
用户身份运行,以创建和配置队列管理器。
当部署虚拟机时,部署过程会再创建两个用户 root
和 virtuser
。 如果这些用户运行 sudo -u mqm command
命令,那么他们有权使用 mqm
组的权限来运行 command
。 用户本身不是 mqm
组的成员。
将授权用户添加到 IBM WebSphere MQ basic part
IBM WebSphere MQ basic part 具有您可以设置的安全属性 Authorized
users1 。 您可以定义以空格分隔的用户标识列表。 部署过程将创建每个用户标识,并使其成为具有相同名称的主组的成员。
部署过程会将授权用户标识添加到可运行命令 sudo -u mqm command
的用户标识列表中。 授权用户标识在命令持续时间内获取 mqm
组权限。
每个用户及其主组都具有 IBM WebSphere MQ 管理权限; 请参阅 图 1。
从任何 IP 地址远程连接到
IBM WebSphere MQ Explorer 的用户可以采用授权用户的身份。 为防止此安全漏洞,部署过程将除去缺省通道认证规则; 请参阅
图 2。 除去此规则将阻止任何人知道授权用户对
IBM WebSphere MQ Explorer的访问权的身份。 对
IBM WebSphere MQ 缺省配置的此更改还会除去授权用户对
IBM WebSphere MQ Explorer 的远程访问权。 您可以将许可权扩展回有限的 TCP/IP 地址集; 请参阅
为远程管理定义授权 IP 地址。
部署过程授予授权用户标识以远程连接到队列管理器的许可权。 它为服务器连接通道 SYSTEM.DEF.SVRCONN
和 SYSTEM.ADMIN.SVRCONN
添加通道认证记录; 请参阅 图 3。 它将权限限制为本地 TCP/IP 地址 127.0.0.1
以及已认证的授权用户。
为远程管理定义授权 IP 地址
IBM WebSphere MQ basic part 部件具有您可以设置的安全属性 Authorized IP addresses1 。 定义单个 IP 地址或一组 IP 地址; 请参阅 通用 IP 地址。
部署过程定义所选 IP 地址的服务器连接通道授权; 请参阅 图 4。
授权允许任何用户从具有管理员权限的授权 IP 地址启动 IBM WebSphere MQ Explorer 。 要使服务器连接通道启动 IBM WebSphere MQ Explorer,还必须定义授权用户。
重要信息: 授权会削弱 IBM WebSphere MQ virtual system instance的安全性。 任何用户都可以从您定义的 IP 地址管理 IBM WebSphere MQ 。 要加强安全性,必须限制授权用户对这些 IP 地址的访问权。