Диференциацията права WebSphere MQ - websphererus

Системата на диференциация на правата, се основава на предоставянето на определена група потребители достъп до определен набор от предмети, в този случай, една и могат да бъдат осигурени и същ обект на различни разрешения за потребители и групи в рамките на една група. За по-нататъшно условие е била разбрана от материала, е необходимо да се разработи общ език в термини и определения, използвани в статията. Нека ги разгледаме:

За да работите със системата на диференциация на правата, използвани от екипа: setmqaut и dspmqaut, да зададете разрешения за обекти, които можете да използвате за GUI MQExplorer.

setmqaut команда се използва за инсталиране и премахване на правата на обекти.

След като експериментира с настройка CHLAUTH в MQ 7.5, открихме два интересни точки. Тя е създадена правило, което позволява достъп до канала за администрацията MQ само за потребителя с конкретен запис сметка myadmuser:

SET CHLAUTH (ADM.CHANNEL) ВИД (USERMAP) CLNTUSER ( "myadmuser) USERSRC (канал)

ДИСПЛЕЙ CHLAUTH (*)
30. ДИСПЛЕЙ CHLAUTH (*)
AMQ8878: Канал за подробности рекордни удостоверяване.
CHLAUTH ТИП (ADM.CHANNEL) (USERMAP)
CLNTUSER (myadmuser) USERSRC (канал)

Ако не въведете потребителско име в единични кавички, тогава правилото ще бъде създаден по този начин:

AMQ8878: Канал за подробности рекордни удостоверяване.
CHLAUTH ТИП (ADM.CHANNEL) (USERMAP)
CLNTUSER (MYADMUSER) USERSRC (канал)

Когато сте свързани към канал чувствителен потребителско име, под което е вписано в Windows. Например, ако същият е бил вписан като myadmuser, като правило, създаден за MYADMUSER, той няма да може да се свърже към канала. Ако сте създали и двете версии на правилата (за главни и малки букви), тя все още не ще бъде в състояние да се свърже, ако се влезе в системата като Myadmuser или myAdmUser или нещо друго.

И сега, най-интересното. Ако се регистрирате в настройките за връзка, името на потребителя (например в MQ Explorer в раздела Connection Properties в UserId), работата по правило CHLAUTH и предоставяне на достъп, дори ако потребителят е влязъл в Windows като друго име.

Заключение: в MQ 7.5 удостоверяването ще отсъства и правила CHLAUTH за удостоверяване потребителско име все още няма практическо приложение, но само даде на външния вид на защита MQ.

Рейтинг: 0 (от 0 гласа)

Александър, в MQ никога не е било по-цялостна система за удостоверяване, и аз никога не мисля, че ще. Преди версия 5.3 е интегрирана система за удостоверяване на базата на пакети от потребител / парола, предавани от клиента към сървъра. Въз основа на тази система с помощта на изхода за сигурност на канала може да се прилага надеждна система видимост. Въпреки това, IBM изоставен този механизъм в полза на истинността на домейн, което е много по-надежден, тъй като преди това име и парола, се съхраняват в променливи на обкръжението и премина през мрежата на ясен текст. Сега, както правилно отбеляза Сергей, че е възможно да използвате LDAP, че в комбинация с документите за самоличност канал позволява да се изгради надеждна система. За феновете на хардкор не е прекратен канал изход сигурност и SSL.

Рейтинг: 0 (от 0 гласа)

"И сега, най-интересното. Ако се регистрирате в настройките за връзка, името на потребителя (например в MQ Explorer в раздела Connection Properties в UserId), работата по правило CHLAUTH и предоставяне на достъп, дори ако потребителят е влязъл в Windows с друго име "

Тази функция е много полезна за администратора, тъй като тя дава възможност незабавно да проверят верността на политиката той създава за конкретен потребител.

Ако администраторът е активирал идентификационни записите на канала, като смяна на напукване няма смисъл, тъй като тя ще бъде по-провал на кръстовището с управителя.

Рейтинг: 0 (от 0 гласа)

Изходна само половината прав. Фактът, че в истинността на MQ не - да, но ние не твърдят друго. Пощенските се занимава с определянето на правата за достъп до мениджъра на обект за различни потребители - и тя има практическо приложение.
Например, има две външни за системата MQ. Всеки един от тях работи със собствен набор от опашки. За да се разграничат тези системи права за достъп са двата канала и две потребителите, които установява правото на съответните набори на опашките. Това е, което тази публикация.
Как да се организира такъв достъп до MQ е отделен въпрос.

Рейтинг: 0 (от 0 гласа)