我有一个qmgr QM1和本地队列Q1 and Q2。有一个SVRCONN频道,MCA设置为mqm。
有多个应用程序连接到我的QMGR,例如APP1 and App2。
我希望App1仅具有PUT权限,这意味着 ONLY PUT 向Q1 or Q2发送消息<{1}}只有App2权限仅从GET获取消息。
有什么建议。
答案 0 :(得分:1)
有一个SVRCONN通道,MCA设置为mqm。
难怪setmqaut不起作用。每个客户端连接UserID都将被mqm UserID覆盖。
从频道的MCAUSER字段中删除UserID,以便您的安全设置开始工作。其次,您需要查找如何使用错误的UserID(有意或无意)保护您的队列管理器免受客户端应用程序的侵害。
答案 1 :(得分:1)
每个独特的授权集都需要附加到一个组。然后,当应用程序连接时,需要将其作为相应组中的用户ID。 (请记住,访问请求始终解析为特定主体,但授权会附加到组。)
在这种情况下,App1和App2都需要自己的组和每个组中至少一个ID。一旦你有了app1和app2的组,那么你需要安排正在运行的频道的MCAUSER是相应组中的用户ID。您可以通过在每个通道中使用带有硬编码MCAUSER的不同通道来执行此操作,或者根据CHLAUTH规则动态设置MCAUSER。如果您一直在使用通道安全出口,例如BlockIP2或MQAUSX,那么您可以配置它们以便在连接时动态设置MCAUSER。
请记住,设置MCAUSER('mqm')的频道必须配置为拒绝访问App1和App2,或任何其他非管理员连接。从安全角度来看,在所有入站通道中设置MCAUSER('*NOACCESS')然后使用退出或CHLAUTH规则覆盖它是更常见和更好的。这样,如果通道配置失败,则无法进入安全状态而不是不安全状态。