我試圖從IBM Websphere Application Server連接到IBM Websphere MQ服務器。MQJMS2013無效安全認證
我收到以下錯誤:
MQJMS2013: invalid security authentication supplied for MQQueueManager
我明白了什麼是,這是由於無效的安全證書由WAS在連接到MQ管理器。
我已經嘗試了提供MQ管理員密碼的不同組合,例如
而且,在一些職位提到的,我已經試過傳輸類型爲爲「綁定」以及「客戶」的QueueConnectionFactory。
請建議。
最後得到它的工作,應用組合2天后。
幫助其他(可能我自己在未來也),下面是問題:
我們配置與IBM WebSphere MQ服務器IBM WebSphere應用服務器。我們創建了隊列連接工廠,隊列和偵聽器端口。 我們正在反覆討論有關異常。
它是如何工作的: 當您啓動應用程序服務器,即啓動服務器應該有MQ訪問的用戶。即用戶應該是組MQM的一部分。只需添加,在向用戶添加組之後,請記得重新啓動MQ服務器,因爲MQ服務器僅在重新啓動後刷新權限。
希望這會有所幫助。
一個問題是MQJMS2013可能與QMgr無關。它可能是配置文件權限問題,執行JNDI查找的LDAP憑據,密鑰存儲問題等。
確定是否真的是WMQ授權異常的一種方法是在QMgr上啓用授權事件並重新創建錯誤。如果它是WMQ身份驗證問題,則事件消息將落入SYSTEM.ADMIN.QMGR.EVENT隊列中。它將包含用戶的ID,呼叫失敗的對象,失敗的API調用以及呼叫中使用的所有選項。如果您使用SupportPac MO71那麼它會爲您格式化事件消息。如果您使用WMQ資源管理器,則可以安裝SupportPac MS0P來格式化事件消息。
如果您沒有收到事件消息,那麼連接沒有達到WMQ!在這種情況下,您對帳戶,組,setmqaut和其他WMQ特定配置沒有任何幫助,我會建議enabling tracing。
在綁定模式下,ID呈現的必須與匹配,JVM運行的ID爲。在客戶端模式下,診斷的另一種方法是將通道的MCAUSER設置爲已知的良好值。該頻道的MCAUSER將覆蓋應用服務器傳入的任何ID,並應始終設置爲低權限帳戶。對於診斷,請將TEMPORARILY設置爲'mqm',並且如果連接正常工作將問題隔離爲WMQ身份驗證問題。
看來這個信息是非常有用的。我在SYSTEM.ADMIN.QMGR.EVENT隊列中找到了消息。但消息的詳細信息是「MQGET以原因碼2080結束」。嘗試刪除郵件並重新執行! – 2010-12-16 08:10:59
2080是MQRC_TRUNCATED_MSG_FAILED這意味着你可能正在使用amqsget。如果你使用上面提到的工具,他們將得到整個消息*和*格式化爲人類可讀的文本(事件消息是PCF)。如果你想快速和骯髒的方式來獲得信息,使用amqsbcg這將給你一個十六進制轉儲,然後你可以使用C頭文件和一個十六進制計算器進行解碼。 – 2010-12-16 12:49:07
綁定或客戶端模式?充其量(綁定模式),您只需授予應用服務器授權即可管理WMQ並執行操作系統命令作爲mqm用戶標識。這在瑣碎的應用程序中可以實現,但它相當於爲應用程序提供完整的DBA管理權限,而大多數商店絕對不會這樣做。爲什麼他們這樣做與WMQ是我的一個謎。在最壞的情況下(客戶端綁定),您剛剛向匿名遠程用戶授予了管理權限。基本上*任何帶IP路由到QMgr的人都可以管理它並執行OS命令。那是你的意圖嗎?見http://bit.ly/17oKEc – 2010-12-16 12:48:19
順便說一句,無論是與我聯繫到我的反應,你會在兩分鐘內,而不是兩天整理了這一點的工具。因此,爲了幫助其他(可能你自己在未來也),安裝這些工具的一個或兩個,現在讓你不旋轉下一次你的車輪。如果您對保護WMQ有任何興趣,請使用低特權ID和setmqaut命令,而不是在mqm組中粘貼應用程序,並使用低特權MCAUSER鎖定所有入站頻道!你所做的「工作」意味着應用程序現在可以發送消息,但它幾乎從來都不是正確的答案。 – 2010-12-16 13:03:00
+1 Got you!不幸的是,我不是MQ服務器和配置的專家。在服務行業,一切都很重要,我們只需要讓事情順利進行。一般來說,要了解你提到的安全方面,但正如你所提到的,它對於我的環境來說並不是非常重要的!再次感謝! – 2010-12-17 12:10:06