特权用户:表示有权执行操作而未被显式授予执行该操作的访问权的用户。 mqm 组中的用户是这些特权用户的示例。
IBMMQ管理员:表示需要对 IBM MQ(例如 DEFINE QLOCAL 或 START CHANNEL) 发出管理命令的用户。
特权用户
特权用户是对IBMMQ具有完全管理权限的用户,包括以下权限:
对 SYSTEM 对象的任何权限
用于创建,变更和删除对象的管理权限。
用于清除队列的管理权限。
用于停止通道,回退或落实消息的管理权限。
备用用户 MQI 授权,允许应用程序升级特权以进行授权检查。
允许应用程序更改消息的安全上下文的上下文授权。
平台 | 特权用户 |
Windows |
|
AIX and Linux |
|
创建特权用户方式:(如果是在linux系统,那么默认已经创建了mqm用户,win系统需要按照下面的方式自己创建)
1、先在系统上创建一个用户
2、把该用户添加到mqm分组
非特权用户
创建非特权用户
- 先在系统上创建一个用户,比如:Alice
- 通过执行以下过程,授予此新用户发出所有IBMMQ管理命令的权限:
- 使用特权用户启动 IBM MQ Explorer 。
- 通过选择相应的队列管理器,然后选择 对象权限 和 添加基于角色的权限,浏览至 " 基于角色的向导 "。
- 在弹出的向导面板中,输入您在第一步中创建的用户标识,或者如果您希望使用组,请输入要使其成为非特权IBMMQ管理员的用户或用户集的组名。
- 设置向导以获取完全管理访问权。
- 如果要允许非特权IBMMQ管理员能够浏览队列上的消息,也请选中该复选框。
- 查看向导底部的预览面板中的命令。您可以剪切并粘贴这些命令以构建自己的脚本,然后执行,也可以在向导上按 确定 执行命令。
- 非特权IBMMQ管理员添加远程访问,需要设置一些 CHLAUTH 规则以允许对此用户标识进行远程访问。
1.如果使用弱 TCP/IP 认证,那么可以设置如下所示的 CHLAUTH 规则:
SET CHLAUTH(admin-channel-name) TYPE(ADDRESSMAP) ADDRESS('1.2.3.4') USERSRC(MAP) MCAUSER('alice') DESCR('Admin Channel - Weak TCP/IP authentication')
2.如果使用 TLS 认证,那么可以设置如下所示的 CHLAUTH 规则:
SET CHLAUTH(admin-channel-name) TYPE(SSLPEERMAP) SSLPEER('CN=Alice') ADDRESS('1.2.3.4') USERSRC(MAP) MCAUSER('alice') DESCR('Admin Channel - TLS authentication'
现在,当用户连接到 admin-channel-name (并与 CHLAUTH 规则匹配) 时,他们能够在队列管理器上以用户标识 alice 发出命令,因此不需要特权远程访问。