WebSphere MQ通道访问安全问题
考虑以下队列防御:
设置AUTHREC OBJTYPE(QMGR)组('mq-user')AUTHADD(INQ,DSP,CONNECT)
- MCAUSER在DEFINE CHANNEL和setchlauth中的含义是什么?
- tcs-mq-user应该属于mq-user组吗?
- 这是否意味着只有tcs-mq-user在绑定模式下可以访问队列管理器?现在,如果我想在绑定模式下为另一个用户提供访问权限,我应该为这个用户创建另一对DEFINE CHANNEL和SET CHLAUTH命令吗?
- 是否可以将信道访问权授予mcs-user组?
共有1个答案
好的,答案大减价,今天买一送三!-)让我们把这些按顺序拿好...
1.A.通道的MCAUSER值是对其执行授权检查的ID。如果define CHL()CHLTYPE(SVRCONN)使MCAUSER为空,那么连接的客户端可以指定希望连接的ID。如果指定失败,WMQ客户机将尝试使用从运行客户机应用程序的工作站上看到的客户机用户的ID并显示该ID。在通道定义中设置MCAUSER可防止客户端应用程序指定该值。
1.B。AddressMap规则中的MCAUSER用于根据某些标识标准映射MCAUSER。它说:“如果连接以指定的IP地址用户名SSL可分辨名称到达此通道,则使用此ID作为MCAUSER,并允许通道运行,如果没有其他规则阻止它。
这是支持职责分离的标准UNIX授权模型。资源管理员(WMQ管理员)授权组。帐户管理员在组中注册用户ID。这两个组都需要提供访问。在现实世界中,大多数商店没有利用职责分离功能,但在重要的情况下,这是强制性的。
3.算是吧。V7.1或更高版本的默认QMgr根本不允许任何远程连接。这是因为它在创建时没有authrec规则,所以不授予非管理员访问权限。默认的Chlauth规则阻止管理员进行远程访问。
通过指定的规则,任何人都可以成功连接到$cname通道,并将被授权为tcs-Mq-user。如果希望它们以具有相同权限的不同用户ID进行连接,则需要将该ID添加到mq-user组,然后将通道设置为映射所显示的ID。如果您想强制某人连接了哪个ID,那么您必须通过IP地址或者更好地根据他们的证书可分辨名称来指定映射。
如果您还没有找到该站点,您可能会发现T-Rob.net很有用。特别是,在链接页面上,我发布了来自会议的所有WMQ安全演示,以及我和其他作者文章的链接。
-
我的Quarkus申请一直面临一个问题。该应用程序在本地开发模式下运行时可以正常工作,但是当它作为本地映像构建时,我面临一些奇怪的问题。 遇到的错误: 访问私有intjava.util.ArrayList.size的偏移量时,不首先将字段注册为不安全访问。 org.hibernate.type.serializationexception不能反序列化 java.io.InvalidClassExc
-
本任务将演示如何通过使用Istio认证提供的服务账户,来安全地对服务做访问控制。 当Istio双向TLS认证打开时,服务器就会根据其证书来认证客户端,并从证书获取客户端的服务账户。服务账户在source.user的属性中。请参考Istio auth identity了解Istio中服务账户的格式。 开始之前 根据quick start的说明在开启认证的Kubernetes中安装Istio。注意,应
-
我有一个带有Web触发器endpoint的Azure函数设置,我想将其用作React应用程序的后端。没有身份验证设置,它工作正常。当我使用AD设置应用服务身份验证时,当我直接通过浏览器访问时(身份验证后),它工作正常,但当我尝试从提供承载令牌的JS访问时,我得到了401。 客户端应用程序正在Azure上运行,并已注册为Azure AD应用程序。我能够成功地验证、查询AD和使用MS Graph AP
-
因此,我们创建了一个包含一些私有类成员的简单类,并自动为其生成getter。但getter实际上返回了对该成员的引用,从而获得了对私有成员的完全访问权。这样可以吗?下面是一个类的代码: 主要方法代码: 和输出: [字符串1,字符串2] [字符串1、字符串2、字符串3] 我已经将getter更改为这个: 但问题仍然是,如果不是为了安全,吸气剂的作用是什么?什么是正确的书写方式?
-
我有一个应用程序,它有一个ConcurrentHashMap本地存储一个存储在外部服务器上的数据副本。地图每隔几秒钟就会更新一次数据的新副本。 我有一个循环,每隔几秒钟运行一次,它可以访问HashMap并按照值的顺序将元素添加到数组中(实际上它做的事情还多一些,但这并不相关)。我的问题是,如果数据在创建数组的过程中发生了变化,您可能会在不同的地方有重复的键,或者完全省略一些键。 示例: 如您所见,
-
我被要求支持2个URL,以便JMX访问我们的服务器: 一个安全的(服务:jmx:rmi://localhost/jndi/rmi://localhost:2020/jmxrmi)不安全:(服务:jmx:rmi://localhost/jndi/rmi://localhost:2020/insecure-jmxrmi) 不安全的主要用于演示目的-不,它不会在生产过程中使用。 我可以为 /jmxrmi