对于以下内容,AUTHRECS 的推荐值是多少,当然这需要根据自己的要求进行调整。
- 队列管理器
- 队列(本地、远程、dlq)
- CHANNEL(服务器连接、发送方、接收方等)
问问题
216 次
1 回答
2
我通常会告诉人们考虑三个不同的安全组:
- QMgr 到 QMgr 的连接归结为“我要授予
MCAUSERRCVR/RQSTR/CLUSRCVR 频道的哪些身份验证?” 此类别中的角色取决于您希望网络安全的粒度。不过,一般来说,相邻的 QMgr 不应该有权访问本地 QMgr 的命令队列。通道的 MCAUSER 连接到 QMgr 并进行查询,然后放入并设置它实际需要的队列。而已。 - 应用到 QMgr。这里的“应用程序”是指驻留在锁定数据中心的业务应用程序。这些应用程序一般需要在 QMgr 上连接和查询,然后在队列和主题上放置、获取、浏览、发布、订阅。有时他们需要更高级别的身份验证,例如为消息设置上下文信息的能力,但这很少见并且仅限于特定队列。
- 互动用户。在该组中,有各种角色,例如管理员、匿名用户以及介于两者之间的所有角色。这些可能需要访问权限才能显示甚至管理队列和主题以外的对象。
其中每一个都有非常不同的身份验证和授权要求。它们还具有不同的特征,例如消息量和帐户的稳定性以及所需的授权。
不过,它们确实有一些共同点。
- 将 QMgr 上的集合授予有权访问命令队列的任何人使他们成为完全管理员。
- 授予创建队列(动态队列除外)的能力使用户成为完全管理员。
- 任何连接或打开对象的东西都需要查询 QMgr 和它被授权的对象。
- 业务应用程序需要对其队列和主题而不是其他类型的对象的读/写访问权限。
- Instrumentation 通常需要访问许多对象类型,但不需要读取或更新业务队列上的消息。
- 如果您正在监控安全性,人类用户至少需要显示对所有对象的访问权限。这是因为枚举对象(例如绘制队列屏幕)的唯一方法是执行 PCF 等价于
DIS objType(*). 如果用户没有对所有对象的显示访问权限,objType则 QMgr 在发出显示时发出授权错误。
于 2012-08-03T16:48:10.323 回答