2. 질의 응답
  3. MQ @windows의 인증 명령

MQ @windows의 인증 명령

2017-03-27 6 views
1

다음은 Unix + MQ9에서 권한 부여를 위해 수행 된 명령입니다. Windows 서버에서 아래 명령을 수행하는 방법은 물론 올바른 방법인지 여부를 검토하고 싶습니까? 29 월-2017에MQ @windows의 인증 명령

setmqaut -m TLSTEST.QM -t qmgr -p clientadmin +connect +dsp +inq 
setmqaut -m TLSTEST.QM -t queue -p clientadmin -n '**' +put +get +browse +dsp +inq 
runmqsc TLSTEST.QM 
ALTER AUTHINFO(SYSTEM.DEFAULT.AUTHINFO.IDPWOS) AUTHTYPE(IDPWOS) CHCKCLNT(OPTIONAL) 
ALTER QMGR CHLAUTH(DISABLED) 
REFRESH SECURITY TYPE(CONNAUTH)

업데이트는 setmqaut 권한 대신 '**'으로 만 아래 괜찮 요구에 관한

을 사용할 수있다

? 연결이 클라이언트 코드에 다음과 같이 전달하거나이 값을 구체화하는 좋은 방법을 request.Is 내 JMS 클라이언트가 사용자 정보를 전달하지 않기 때문에 명령 아래 

setmqaut -m TLSTEST.QM -t qmgr -p clientadmin +connect +dsp +inq 
setmqaut -m TLSTEST.QM -t queue -p clientadmin -n RECEIVE +put +get +browse +dsp +inq 
setmqaut -m TLSTEST.QM -t queue -p clientadmin -n SEND +put +get +browse +dsp +inq

은 나를 위해 필요합니까? MQEnvironment.userID = "mqm";
MQEnvironment.password = "password";

runmqsc TLSTEST.QM 
ALTER AUTHINFO(SYSTEM.DEFAULT.AUTHINFO.IDPWOS) AUTHTYPE(IDPWOS) CHCKCLNT(OPTIONAL) 
ALTER QMGR CHLAUTH(DISABLED) 
REFRESH SECURITY TYPE(CONNAUTH)

출처

2017-03-27 MQ Beginner

+0

연결 요청시 사용자/암호를 전달할 수 없습니다. CHLAUTH (DISABLED)가 좋은 옵션이 아니라고 말씀하십니까? CHCKCLNT (OPTIONAL)는 시나리오 암호를 제대로 전송하지 않는 데 이상적입니다. 위의 매개 변수 설정에 보안 문제가 있습니까? –

+0

SSLCIPH가 TLSv2에 대해 활성화되었습니다. JMS 클라이언트의 올바른 key.jks + certificate-password + cipher로만 QMgr에 연결됩니다. 그래서 SSLCIPH가 활성화되면, CHCKCLNT (선택) + CHLAUTH (비활성화 됨) + SSLCAUTH (선택 사항)가 보안 문제에 영향을 미치지 않을 것이라고 생각합니까? –

+0

블록으로 답변을 추가 할 수있어서 투표 할 수 있고 '친환경 마크'를 줄 수 있습니다. 나는 SSLCAUTH (REQUIRED)에 입장했으나 CHLAUTH (DISABLED)에는 입장하지 않았다. CHLAUTH (DISABLED) 대신에 정교하게 설명해 주실 수 있습니까? –

답변

1

당신은 그들이 유닉스처럼 창에 똑같이 잘 작동 귀하의 질문에 제공하는 명령.

참고 사용자가 제안하는 명령은 좋지 않은 보안을 해제하고 사용자가 MQ 관리 권한을 활용할 수있는 SYSTEM * 대기열을 포함하여 대기열 관리자의 모든 대기열에 "clientadmin"사용자를 인증했습니다 .

29-Mar-2017 업데이트의 명령은 SEND 및 RECEIVE 대기열에 대한 특정 사용 권한을 제공하는 데 적합합니다.

내 생각에 사용자 ID와 비밀번호의 값을 외부화하여 향후 변경 될 경우 다시 컴파일하지 않아도됩니다.

응용 프로그램을 mqm으로 연결하면 mqm에 완전한 관리 권한이 있으므로 좋은 f}은 아 U니다.

CHLAUTH (DISABLED) 설정은 암호 확인을 막지 않으며 MQ 관리자가 SVRCONN 채널에 연결하는 것을 방지하고 SYSTEM. * 채널의 사용을 막는 일반적인 CHLAUTH 규칙을 해제합니다.

기본값 인 CHCKCLNT (선택 사항)를 CHCKCLNT (REQDADM)에서 설정하면 MQ에 암호가 제공된 경우에만 암호가 유효한지 확인하도록 MQ가 구성됩니다.

기본값 인 CHCKCLNT (REQDADM)는 CHCKCLNT (OPTIONAL)와 동일하며 MQ 관리자 권한이있는 계정은 유효한 암호를 제공해야합니다. MQ 관리 권한이없는 계정은 유효한 암호를 제공 할 필요가 없지만 암호가 제공된 경우 유효해야합니다.

구성이 CHCKCLNT (선택 사항)에서만 작동하는 경우 MQ 관리 권한이있는 계정으로 연결 중임을 나타냅니다.

SSLCIPH 및 SSLPEER를 사용하여 SVRCONN을 제한하여 특정 클라이언트 인증서 만 연결하고 다른 모든 채널은 잠그지 않는 한 MQ가 유효한 암호가 전송되도록 설정하지 않는 보안 문제가 있습니다. 기본 CHLAUTH 규칙은 MQ 관리 권한이있는 사용자가 연결할 수 없도록하여 모든 채널을 잠그고 모든 SYSTEM * 채널에 대한 연결을 차단합니다.

SSLCAUTH (선택 사항)를 설정하면 클라이언트에 인증서가있는 것을 요구하지 않도록 MQ가 구성됩니다. 클라이언트에 인증서가있는 경우 MQ는 인증서의 신뢰 여부를 확인하고 SSLPEER 세트를 사용하면 클라이언트 인증서 DN 값 성냥.

SSLCAUTH (필수)는 클라이언트가 cert를 요구하도록 MQ를 구성합니다. 또한 SSLPEER 채널 설정과 페어링하여 인증서가 큐 관리자가 신뢰할 수있는 인증서가 아니라 기대하는 것임을 보장하려면 MCAUSER를 낮은 권한의 사용자로 설정해야합니다.

CHLAUTH (DISABLED) 설정은 SYSTEM. * 채널을 안전하지 않게 만들 가능성이 있습니다.

다른 완화 조치가없는 경우 표시되는 구성이 안전하지 않습니다.

출처

2017-04-12 16:39:25 JoshMc

 관련 문제

  • 관련 문제 없음^_^