的WebSphere MQ推荐AUTHRECS

Question

什么将是AUTHRECS建议值以下，当然这需要每的要求进行调整。

1. 队列管理器
2. 队列（本地，远程，DLQ）
3. CHANNEL（服务器连接，发件人，收件人等）

Answer 1

我通常会告诉人们要考虑安全性三个不同的群体：

1. QMGR到QMGR其归结为“做什么我AUTHS授予RCVR的MCAUSER/RQSTR/CLUSRCVR连接渠道？”这个类别中的角色取决于你希望网络安全的粒度。一般来说，相邻的QMgrs不应该有权访问本地QMgr的命令队列。该频道的MCAUSER可以连接到QMgr并进行查询，然后将其放置在实际需要的队列中。而已。
2. Application-to-QMgr。这里的“应用程序”是指位于锁定数据中心的商业应用程序。这些应用程序通常需要连接和查询QMgr，然后放置，获取，浏览，发布，订阅队列和主题。有时候他们需要更高级的auths，比如为消息设置上下文信息的能力，但这很少见，并且仅限于特定的队列。
3. 交互式用户。在这个小组中，有不同的角色，例如管理员，匿名用户和其间的所有内容。这些可能需要显示甚至管理队列和主题以外的对象。

其中每个都有非常不同的认证和授权要求。它们也具有不同的特征，例如邮件数量和帐户以及他们所需的授权的稳定性。

他们确实都有着几个共同点，虽然。

• 在QMgr上授予任何有权访问命令队列的人使其成为完全管理员。
• 授予创建队列（非动态队列）的能力使用户成为完全管理员。
• 任何连接或在QMGR打开一个对象需要查询和对象是经授权。
• 业务应用程序需要读/写访问其队列和主题，但不需要其他类型的对象。
• 仪表通常需要访问很多对象类型，但不向对业务队列中读取或更新的消息。
• 人类用户至少需要对所有对象如果您监控安全显示访问。这是因为枚举对象（例如绘制队列屏幕）的唯一方法是执行与DIS objType(*)等效的PCF。如果用户没有对objType的所有对象的显示访问权限，则QMgr在发布显示时发出授权错误。