的WebSphere MQ推薦AUTHRECS

Question

什麼將是AUTHRECS建議值以下，當然這需要每的要求進行調整。

1. 隊列管理器
2. 隊列（本地，遠程，DLQ）
3. CHANNEL（服務器連接，發件人，收件人等）

Answer 1

我通常會告訴人們要考慮安全性三個不同的羣體：

1. QMGR到QMGR其歸結爲「做什麼我AUTHS授予RCVR的MCAUSER/RQSTR/CLUSRCVR連接渠道？」這個類別中的角色取決於你希望網絡安全的粒度。一般來說，相鄰的QMgrs不應該有權訪問本地QMgr的命令隊列。該頻道的MCAUSER可以連接到QMgr並進行查詢，然後將其放置在實際需要的隊列中。而已。
2. Application-to-QMgr。這裏的「應用程序」是指位於鎖定數據中心的商業應用程序。這些應用程序通常需要連接和查詢QMgr，然後放置，獲取，瀏覽，發佈，訂閱隊列和主題。有時候他們需要更高級的auths，比如爲消息設置上下文信息的能力，但這很少見，並且僅限於特定的隊列。
3. 交互式用戶。在這個小組中，有不同的角色，例如管理員，匿名用戶和其間的所有內容。這些可能需要顯示甚至管理隊列和主題以外的對象。

其中每個都有非常不同的認證和授權要求。它們也具有不同的特徵，例如郵件數量和帳戶以及他們所需的授權的穩定性。

他們確實都有着幾個共同點，雖然。

• 在QMgr上授予任何有權訪問命令隊列的人使其成爲完全管理員。
• 授予創建隊列（非動態隊列）的能力使用戶成爲完全管理員。
• 任何連接或在QMGR打開一個對象需要查詢和對象是經授權。
• 業務應用程序需要讀/寫訪問其隊列和主題，但不需要其他類型的對象。
• 儀表通常需要訪問很多對象類型，但不向對業務隊列中讀取或更新的消息。
• 人類用戶至少需要對所有對象如果您監控安全顯示訪問。這是因爲枚舉對象（例如繪製隊列屏幕）的唯一方法是執行與DIS objType(*)等效的PCF。如果用戶沒有對objType的所有對象的顯示訪問權限，則QMgr在發佈顯示時發出授權錯誤。