我爲IBM MQ配置了SSL安全性。我使用僅使用ssl的用戶標識
ALTER AUTHINFO(SYSTEM.DEFAULT.AUTHINFO.IDPWOS) AUTHTYPE(IDPWOS) CHCKCLNT(OPTIONAL)
REFRESH SECURITY TYPE(CONNAUTH)
我設置在相應的信道的用戶MCA ID,所以在建立連接後用於任何進一步行動這個用戶禁用用戶標識。我查閱了IBM MQ文檔,發現存在兩種用戶標識方式(使用系統用戶或LDAP)。現在我想打開用戶標識,但不是系統用戶或LDAP,我只想使用SSL證書。我不希望交出用戶名或密碼,也不想配置LDAP。
我的問題是,是否有可能使用SSL安全性不僅用於連接建立(身份驗證),還可以用於用戶身份驗證。
是的,可以使用證書專有名稱詳細信息將用戶映射到正在運行的渠道使用的MCAUSER。要做到這一點,你可以使用CHLAUTH功能。
確保它已啓用 -
DISPLAY QMGR CHLAUTH
,如果不是的話,用下面的命令啓用它: -
ALTER QMGR CHLAUTH(ENABLED)
從SSL證書映射到一個MCAUSER,您將創建一個CHLAUTH規則是這樣的: -
SET CHLAUTH(APP1.SSL.SVRCONN) TYPE(SSLPEERMAP) SSLPEER('CN=Morag,O=MQGem') MCAUSER('hughson')
其中APP1.SSL.SVRCONN是我的頻道名稱,字符串在SSLPEER字段中是來自我的證書的Subject的DN,'hughson'是我希望在來自此證書的連接進入此通道時,在其MCAUSER中看到正在運行的通道的值。
這種規則通常與backstop rule和/或MCAUSER中的垃圾用戶ID組合在一起。因此,如果您不符合填入合適MCAUSER的CHLAUTH規則,則渠道將不會運行。