Ibm mq 远程MQ服务器身份验证

我试图弄清楚如何配置/设置身份验证、队列和队列管理器，以连接服务器/域上的MQ客户机，该服务器/域与它将向其转发消息的MQ服务器完全分离

我假设在正常的组织环境中，您可以使用Active Directory（如果托管在windows服务器上）进行身份验证/广告查找。然而，在这种情况下，因为他们是不同的组织，你不能这样做吗

您可以简单地将SSL证书应用于客户端/服务器并将其用作身份验证吗？如果是，这是否仅适用于连接中使用的通道

不知道如何继续进行这项工作

如有任何建议，将不胜感激

谢谢

S

看一下v7.0及更早版本的演示文稿。要记住的是WMQ不会对任何东西进行身份验证。它基于操作系统身份和组进行授权，但不进行密码检查

对于QMGR和客户端位于Windows网络上的情况，连接使用SID，因此似乎执行了一些有用的身份验证。但是，如果尝试从非Windows平台连接，Windows QMgr将使用ID的字符串表示。因此，例如，如果某人的桌面上有Linux VM，他们可以轻松创建一个名为MUSR_MQADMIN的用户ID，Windows QMgr将接受该连接。有一种设置会导致Windows QMgr只接受与它可以解析的SID的连接，但即使在这种情况下，也只需要知道SID值是什么就可以在连接上欺骗它们

这里的教训是，任何QMgr，即使是Windows上的QMgr，都必须配置为对远程连接进行身份验证。使用WMQ v7.1及更高版本，QMgr具有将X.509证书DNs映射到用户ID或执行IP筛选的功能。在v7.1之前，这些功能需要退出，例如。Capitalware销售具有BlockIP2功能的产品，plus将执行ID和密码认证，并受支持

第一个建议是使用v7.1 QMgr，以便获得映射和筛选的

CHLAUTH

规则。即使您不使用证书，v7.1也会限制管理连接，因此攻击者更难获得完全的管理权限。然后，如果您需要密码验证，请使用SSL通道（加密密码并防止简单的重放攻击）以及您可以自己编写或购买的出口

请注意，允许从域外建立连接不会带来任何新的挑战。v7.1之前版本的Windows QMgr在通道定义中或出口处未设置MCAUSER，因此允许远程管理访问，即使是从本地Windows域中发起的连接。始终需要强化QMgr，即使如果管理员没有为诚实的用户设置身份验证，他们也会收到授权错误

摘要：
对于源自管理域之外的客户端，我建议使用相互验证的TLS/SSL通道。我在上面链接到的同一页还包含WMQ安全实验室指南和脚本，它们显示了如何编写创建和交换WMQ证书的脚本，以及如何使用它们配置WMQ Explorer

---

无论您做什么，必须在配置中或通过出口设置任何合法通道上的

MCAUSER

。如果允许客户端指定ID，则不会阻止它指定管理ID。对于未使用的频道，如

SYSTEM.DEF.*

和

SYSTEM.AUTO.*

，请将MCAUSER设置为不能为本地ID的值，如

no！body

或v7.1及更高版本上的

*NOACCESS

，因为您的回答总是无价的。谢谢你，罗布。如果我还有其他问题，我将创建一个新的SO请求