我们将WebSphere Application Server升级到V7,之前正在运行的应用程序现在获得连接到WebSphere MQ的2035个授权错误。有什么不同,我们如何解决它?
答案 0 :(得分:1)
这是一个有趣的问题。在V6及更早版本中,如果WMQ的WAS配置面板上的用户ID字段留空,则WAS将使用该值(NULL或空格)作为它在连接上呈现给WMQ的ID。当WMQ收到缺少用户ID的连接请求时,它使用与WMQ频道关联的ID连接 - 这始终是管理的,因此始终有效。
从V7开始,WMQ被更改为更加努力地找到要与连接请求一起发送的用户ID。对于Java / JMS程序,如果没有提供其他ID,WMQ客户端将在连接请求上显示JVM的ID。在您的情况下,应用服务器现在提供ID,而在它提供之前没有,并且提供的ID未授权给WebSphere MQ。
发生这种情况意味着您的队列管理器配置为接受匿名管理连接。这里要做的第一件事是锁定所有未使用的入站通道(RCVR,RQSTR,CLUSRCVR和SVRCONN类型的SYSTEM。*)。接下来,确保用于管理访问的任何通道(例如,SYSTEM.ADMIN.SVRCONN)使用出口和/或SSL对连接进行身份验证。如果使用SSL,请确保SSLPEER也用于限制可以连接的证书。
最后,一旦管理员访问被锁定,请获取应该用于WAS的ID,相应地授权它的组,然后将该ID放入通道的MCAUSER属性中。这将阻止应用程序以管理员身份连接到频道。如果您想确保没有人可以模拟应用程序,请设置SSL和/或退出,就像您对管理渠道所做的那样。