Security 7.0+；中的websphere mq安全更改是否可以在不使用安全出口的情况下保护MQ对象

我们使用WebsphereMQ 6.0中的安全出口在连接到MQ和MQ-MQ连接的java客户端中提供安全性。我们使用安全出口来提供连接到队列管理器、队列和通道的安全方式

最新版本的安全机制是否有任何更改，以便我们完全避免使用安全出口

这就是我们在MQ安全方面的要求/目标

• 只有提供正确的用户名和密码才能访问QueueManager（我知道在没有安全出口的6.0中这是不可能的）

• 在验证queuemanager连接后，合法用户应该只能访问其队列/通道

谢谢

简短回答-不

WMQV7.0对安全性做了一些重大更改，例如添加主题作为可以应用安全性的一流WMQ对象。但是，WMQ v7.0中的远程连接身份验证使用与v6.0中相同的机制，即SSL、出口或它们的某种组合。尽管WMQ Explorer现在有一个放置用户ID和密码的位置，但QMgr只接受用户ID的面值（与v6.0及更早版本中相同），并且密码将被忽略，除非使用出口进行验证

我还应该提到，任何时候从WMQ客户端将ID和密码发送到服务器端的出口进行验证时，默认情况下都没有任何东西可以保护传输中的凭据。如果使用出口对，则客户端和服务器端出口可能会设置用于发送凭据的每个会话加密。不过，更常见的情况是，仅服务器端出口与SSL通道结合使用，密码套件不是NULL_SHA或NULL_MD5。这提供了凭证的每会话保护，而不需要出口对

我所接触过的一些商店使用出口，使用静态密钥和salt对凭证进行加密。虽然这种方法确实可以防止窃听者学习实际密码，但加密字符串可以简单地在新的连接请求中重放，因此安全级别比没有更差-它给人一种安全的印象，但实际上并没有增强安全性

这里真正的诀窍是验证密码。如果SSL证书足够，可以使用通道上的SSLPEER按可分辨名称过滤，或者使用出口将SSL证书映射到本地用户ID。后一种方法可以使用免费的BlockIP2出口（IBM用户运行站点，但出口代码由社区维护）。

简短回答-否

WMQV7.0对安全性做了一些重大更改，例如添加主题作为可以应用安全性的一流WMQ对象。但是，WMQ v7.0中的远程连接身份验证使用与v6.0中相同的机制，即SSL、出口或它们的某种组合。尽管WMQ Explorer现在有一个放置用户ID和密码的位置，但QMgr只接受用户ID的面值（与v6.0及更早版本中相同），并且密码将被忽略，除非使用出口进行验证

我还应该提到，任何时候从WMQ客户端将ID和密码发送到服务器端的出口进行验证时，默认情况下都没有任何东西可以保护传输中的凭据。如果使用出口对，则客户端和服务器端出口可能会设置用于发送凭据的每个会话加密。不过，更常见的情况是，仅服务器端出口与SSL通道结合使用，密码套件不是NULL_SHA或NULL_MD5。这提供了凭证的每会话保护，而不需要出口对

我所接触过的一些商店使用出口，使用静态密钥和salt对凭证进行加密。虽然这种方法确实可以防止窃听者学习实际密码，但加密字符串可以简单地在新的连接请求中重放，因此安全级别比没有更差-它给人一种安全的印象，但实际上并没有增强安全性

---

这里真正的诀窍是验证密码。如果SSL证书足够，可以在通道上使用SSLPEER按可分辨名称进行过滤，或者使用出口将SSL证书映射到本地用户ID。后一种方法可以使用免费BlockIP2出口（IBM用户运行站点，但出口代码由社区维护）.

今天问这个关于v7.1的问题，答案是肯定的！从11月11日起，WMQ v7.1将是GA，通道配置已通过许多新的安全功能得到增强。不再需要出口将SSL DNs映射到用户ID。此外，还有一种方法可以将低特权通道上的管理访问列入黑名单，它知道哪些用户是跨不同平台的管理用户！从11月11日起，WMQ v7.1将是GA，通道配置已通过许多新的安全功能得到增强。不再需要出口将SSL DNs映射到用户ID。此外，还有一种方法可以将低特权通道上的管理访问列入黑名单，它可以知道哪些用户是跨不同平台的管理用户。