2010-05-11 30 views
1

我們在WebsphereMQ 6.0中使用安全性出口來提供連接到MQ和MQ-MQ連接的Java客戶端的安全性。我們使用安全性出口來提供連接到隊列管理器,隊列,通道的安全方式。7.0中的websphere-mq安全更改+是否可以在不使用安全性出口的情況下保護MQ對象

最新版本的安全機制是否有變化,以便我們完全避免使用安全退出?

這是我們在MQ安全需求/目標

  • Queuemanagers應該只提供正確的用戶名和密碼(我知道這是不可能的6.0沒有安全出口)

  • 訪問認證queuemanager連接後的合法用戶應該只能訪問他的隊列/通道。

感謝

+0

今天問了關於v7.1的問題,答案是肯定的!截至11月11日,WMQ v7.1將成爲GA,並且通道配置得到了增強,並增加了許多新的安全功能。無需退出即可將SSL DN映射到用戶標識。此外,還有一種方法可以在低權限頻道上將管理訪問權列入黑名單,並知道哪些用戶在不同平臺上進行管理。 – 2011-10-26 04:27:19

回答

1

簡短的回答 - 沒有。

WMQ v7.0對安全進行了一些重大更改,例如將主題添加爲可應用安全性的第一類WMQ對象。但是,WMQ v7.0中的遠程連接認證使用與v6.0中的SSL相同的機制,即退出或這些機制的組合。儘管WMQ資源管理器現在可以放置用戶標識和密碼,但用戶標識僅由QMgr在表面值(與v6.0及之前的版本相同)中被接受,並且密碼將被忽略,除非使用退出來驗證它。

我還應該提到,無論什麼時候從WMQ客戶端向服務器端的出口發送ID和密碼進行驗證,在默認情況下都沒有任何內容保護傳輸中的憑據。如果使用退出對,則客戶端和服務器端退出可能會設置每個會話加密來發送憑證。然而,更經常的情況是,只有服務器端出口與具有除NULL_SHA或NULL_MD5之外的密碼套件的SSL通道結合使用。這爲每次會話提供了對憑證的保護,而不需要退出對。

我使用過的一些商店使用了使用靜態密鑰和鹽對證書進行加密的出口。雖然這種方法確實可以防止竊聽者獲知實際的密碼,但是加密後的字符串可以在新的連接請求中重播,因此安全級別比沒有任何安全級別更高 - 它給予安全級別的印象,但實際上並未增強安全性。

這裏真正的技巧是驗證密碼。如果SSL證書足夠,則可以在通道上使用SSLPEER按可分辨名稱進行過濾,或者使用退出將SSL證書映射到本地用戶標識。後一種方法可以使用免費的BlockIP2從http://mrmq.dk退出(IBMer運行該網站,但退出代碼由社區維護)。

+0

謝謝。 gr8回答 – avinash 2010-05-11 23:14:50

相關問題