我们在 WebsphereMQ 6.0 中使用安全出口来为连接到 MQ 和 MQ - MQ 连接的 Java 客户端提供安全性。我们使用安全出口来提供连接到队列管理器、队列、通道的安全方式。
最新版本的安全机制是否有任何变化,以便我们可以完全避免使用安全出口?
这就是我们在 MQ 安全方面的要求/目标
只有提供正确的用户名和密码才能访问队列管理器(我知道在没有安全出口的 6.0 中这是不可能的)
验证队列管理器连接后的合法用户应该只能访问他的队列/通道。
谢谢
问问题
1225 次
1 回答
1
简短的回答 - 不。
WMQ v7.0 对安全性进行了一些重大更改,例如将主题添加为可以应用安全性的一流 WMQ 对象。但是,WMQ v7.0 中的远程连接身份验证使用与 v6.0 中相同的机制,即 SSL、退出或这些机制的某种组合。尽管 WMQ Explorer 现在有一个放置用户 ID 和密码的位置,但 QMgr 只是简单地接受用户 ID 的面值(与 v6.0 和之前的版本相同)并且忽略密码,除非使用出口来验证它.
我还应该提到,任何时候从 WMQ 客户端将 ID 和密码发送到服务器端的出口进行验证,默认情况下都没有保护传输中的凭据。如果使用出口对,客户端和服务器端出口可能会设置每个会话加密来发送凭据。但更常见的是,仅服务器端出口与 SSL 通道结合使用,密码套件不是 NULL_SHA 或 NULL_MD5。这提供了凭证的每个会话保护,而无需出口对。
我使用过的一些商店使用过使用静态密钥和盐加密凭据的出口。虽然这种方法确实可以防止窃听者获知实际密码,但加密的字符串可以简单地在新的连接请求中重播,因此安全级别比没有安全级别更差 - 它给人一种安全的印象,但实际上并没有增强安全性。
这里真正的诀窍是验证密码。如果 SSL 证书足够,则可以在通道上使用 SSLPEER 按专有名称进行过滤,或者使用出口将 SSL 证书映射到本地用户 ID。后一种方法可以使用来自http://mrmq.dk的免费 BlockIP2 退出(IBM 人员运行该站点,但退出代码是社区维护的)。
于 2010-05-11T23:04:16.527 回答