IBMMQ包括两个认证:通道认证和连接认证
MQ7.5 —支持通道认证CHLAUTH
MQ8.0以上 —支持连接认证CONNAUTH
1、通道认证CHLAUTH
IBMMQ Explorer 中的操作方式是在队列管理器-通信-通道认证记录,开启和禁用。
bash-4.2$ runmqsc QM1
DISPLAY CHLAUTH(*) //查看所有通道认证记录
DISPLAY QMGR CHLAUTH //查看队列管理器的通道认证记录
alter qmgr chlauth(disabled) //禁用队列管理器 CHLAUTH 规则
alter qmgr chlauth(enabled) //启用队列管理器 CHLAUTH 规则
2、连接认证CONNAUTH
2.1 查看CONNAUTH
bash-4.2$ runmqsc QM1
DISPLAY AUTHINFO(*) //查看所有连接认证
DISPLAY QMGR CONNAUTH //查看队列管理器连接认证
ALTER QMGR CONNAUTH('') //关闭队列管理器连接认证
REFRESH SECURITY TYPE(CONNAUTH) //刷新
DISPLAY AUTHINFO(SYSTEM.DEFAULT.AUTHINFO.IDPWOS)
AUTHINFO(SYSTEM.DEFAULT.AUTHINFO.IDPWOS)
AUTHTYPE(IDPWOS) ADOPTCTX(YES)
DESCR( ) CHCKCLNT(REQDADM)
CHCKLOCL(OPTIONAL) FAILDLAY(1)
AUTHENMD(OS) ALTDATE(2023-10-27)
ALTTIME(14.31.56)
//添加一个新的认证
ALTER QMGR CONNAUTH(TEST.IDPWOS)
DEFINE AUTHINFO(TEST.IDPWOS) AUTHTYPE(IDPWOS) FAILDLAY(10) CHCKLOCL(OPTIONAL) CHCKCLNT(REQUIRED)
REFRESH SECURITY TYPE(CONNAUTH)
2.2 CONNAUTH属性
- AUTHTYPE(认证类型)
IDPWOS: 指示队列管理器使用本地操作系统来认证用户标识和密码。
IDPWLDAP: 指示队列管理器使用 LDAP 服务器来认证用户标识和密码。
- CHCKLOCL (检查本地连接)、CHCKCLNT (检查客户机连接)
NONE:关闭检查
OPTIONAL:可选,可以不提供用户密码,如果提供就会检查
REQUIRED:必须提供用户密码
REQDADM:特权用户必须提供有效的用户标识和密码,但非特权用户被视为具有 OPTIONAL 设置。
CHCKLOCL 设置为 REQUIRED 或 REQDADM 表示您无法使用 runmqsc (错误 AMQ8135: 未授权) 本地管理队列管理器,除非用户在 runmqsc 命令行上指定 -u UserId 参数。
- ADOPTCTX:yes/no
是否使用token,yes:后续验证使用token验证,no:后续的验证仍然使用用户密码。
- FAILDLAY:在将错误返回到应用程序之前,将在 FAILDLAY 属性指定的秒数内保留失败的认证。 这为重复尝试连接的应用程序提供了一些保护。
参考资料: