Как отключить авторизацию в IBM MQ 7.0

Как мы можем отключить авторизацию в MQ версии 7.0.1.3 на платформе Windows?

Я знаю, что в версии 7.0 можно отключить авторизацию каналов. Но я не могу найти способ отключить авторизацию в 7.0.1.3.


ibm-mq mq
person Tariq Mehmood    schedule 06.10.2013    source источник

Ответы (4)


arrow_upward
5
arrow_downward

Авторизацию в 7.0.1.3 можно отключить, установив переменную среды MQSNOAUT=yes как в Windows, так и в UNIX. Переменная должна быть установлена ​​перед созданием администратора очередей, и в течение жизненного цикла администратора очередей авторизация не может быть повторно включена.

Ниже ссылка подробно объясняет использование MQSNOAUT:

http://publib.boulder.ibm.com/infocenter/wmqv7/v7r0/index.jsp?topic=%2Fcom.ibm.mq.amqzag.doc%2Ffa13260_.htm

person Tariq Mehmood    schedule 26.01.2014
comment
Обратите внимание, что ответы только по ссылкам не рекомендуются, ответы SO должны быть конечной точкой поиска для решения (по сравнению с еще одной остановкой ссылок, которые со временем устаревают). Пожалуйста, рассмотрите возможность добавления здесь отдельного синопсиса, оставив ссылку в качестве ссылки. - person kleopatra; 26.01.2014

arrow_upward
3
arrow_downward

Команда MQSC ALTER QMGR CHLAUTH(DISABLED) также отключит авторизацию каналов в MQ v7.5.

Кстати: вы уверены, что версия MQ 8.1? Последняя выпущенная версия MQ — v7.5.

РЕДАКТИРОВАТЬ:

Функция авторизации канала была представлена ​​в MQ v7.1. Так что эта функция недоступна в MQ v701x и, следовательно, не может быть отключена.

person Shashi    schedule 06.10.2013
comment
Исправлен номер рассматриваемой версии. Извиняюсь за некорректный вопрос. - person Tariq Mehmood; 06.10.2013
comment
Проблема в том, что моя программа подключается к 7.0.1.3 Диспетчер очередей возвращает ошибку 2035, которая является MQRC_NOT_AUTORIZED. Если авторизация введена в 7.1, что может быть причиной того, что MQ возвращает ошибку? - person Tariq Mehmood; 07.10.2013
comment
Это связано с тем, что идентификатор пользователя, с которым ваше клиентское приложение подключается к удаленному диспетчеру очередей v7013, не существует или не входит в группу mqm на компьютере, где работает диспетчер очередей v7013. - person Shashi; 07.10.2013
comment
Хорошо, есть ли способ отключить авторизацию или как разрешить неизвестное имя пользователя? Я включил трассировку отладки в управлении очередью, и похоже, что mq не может идентифицировать пользователя для моего процесса, который помещает сообщения в очередь. Принципал разрешается на номер «1717», которого нигде не существует. И клиент и MQ и на одной машине. Я предполагаю, что 1717 год, вероятно, является чем-то подобным «неизвестному». Есть ли способ разрешить этим неизвестным пользователям помещать сообщения в очередь? Кстати, этот же процесс умеет читать сообщения из очереди. - person Tariq Mehmood; 07.10.2013
comment
Причина, по которой я запутался в авторизации, заключается в том, что на уровне диспетчера очередей я вижу параметры для установки полномочий объекта, управления/создания полномочий и управления записями полномочий с помощью MQ Explorer в версии 7.0.1.3. Эти авторизации отличаются от авторизаций канала? - person Tariq Mehmood; 07.10.2013

arrow_upward
1
arrow_downward

Согласно вашему комментарию, вы получаете ошибку 2035, что заставляет вас думать, что для вас включена аутентификация канала.

Как объяснил Шаши, CHLAUTH появился только, начиная с MQ7.1, и его фактическая цель - по умолчанию заблокировать весь доступ администратора через каналы SVRCONN (все каналы System. * заблокированы).

Подробнее см. здесь.

Но, user authentication was always there.

Проверьте идентификатор пользователя, с которым вы пытаетесь подключиться.

Этот идентификатор пользователя должен иметь доступ к объекту MQ. Другими словами, идентификатор пользователя должен быть добавлен в группу пользователей, которая имеет доступ к объектам MQ. Например, идентификаторы пользователей, добавленные в группу "mqm", будут иметь права администратора для объектов MQ.

Действия по добавлению идентификатора пользователя в группу пользователей будут различаться в зависимости от ОС. Укажите вашу ОС в вопросе.

Кроме того, вы можете попытаться дать авторизацию своему пользователю с помощью команды setmqaut. Здесь показано использование команды.

person nitgeek    schedule 07.10.2013
comment
Вывод моего dspmqver: Имя: Websphere MQ, версия: 7.0.1.3, уровень CMVC: p701-103-100818, BuildType: IKAP - (Production). Причина, по которой я путаюсь в авторизации, заключается в том, что на уровне диспетчера очередей I Я вижу варианты установки полномочий объекта, управления/создания полномочий и управления записями полномочий с помощью проводника MQ в версии 7.0.1.3. Эти авторизации отличаются от авторизаций канала? - person Tariq Mehmood; 07.10.2013
comment
Я попытался установить авторизацию с помощью команды setmqaut. Проблема заключается в том, что процесс, отправляющий сообщение в MQ, подключается без учетных данных или, по крайней мере, MQ не может разрешить пользователя процесса, в результате чего MQ не может определить полномочия. Есть ли способ авторизовать всех или авторизовать неизвестных? Речь идет о платформе Windows Server 2008. - person Tariq Mehmood; 07.10.2013
comment
Проверьте свойство канала MCA USER. Попробуйте поставить mqm. Вы пытаетесь подключиться через клиентское приложение или MQ Explorer? - person nitgeek; 07.10.2013
comment
На самом деле у меня есть приложение для смокинга C++, которое использует MQAdapter для подключения к MQ. Я попытаюсь установить свойство выше. - person Tariq Mehmood; 07.10.2013
comment
Ваше приложение будет отправлять идентификатор пользователя. Немногие приложения отправляют ваш текущий идентификатор пользователя, с которым вы вошли в систему. Проверьте, какой идентификатор пользователя отправляется, и проверьте, есть ли у него доступ к объектам MQ. - person nitgeek; 07.10.2013
comment
Я проверил, и, согласно журналам трассировки, MQ не может определить идентификатор пользователя. Как я уже говорил, основной адрес разрешается до 1717, что не имеет никакого смысла в текущей настройке, потому что ни на машине, ни в домене нет пользователя с идентификатором. - person Tariq Mehmood; 08.10.2013

arrow_upward
0
arrow_downward

Идентификатор пользователя "xxxxx" и его пароль были проверены, так как конфигурация центра управления соединениями администратора очередей (CONNAUTH) ссылается на объект аутентификационных данных (AUTHINFO) с именем "SYSTEM.DEFAULT.AUTHINFO.IDPWOS" с CHCKLOCL(НЕОБЯЗАТЕЛЬНО). &P Это сообщение сопровождает предыдущую ошибку, чтобы уточнить причину проверки идентификатора пользователя и пароля.

Поэтому изменены SYSTEM.DEFAULT.AUTHINFO.IDPWOS и SYSTEM.DEFAULT.AUTHINFO.IDPWLDAP в информации об аутентификации, чтобы иметь имя пользователя + пароль - «нет» для проверки локально связанных подключений и «нет» для проверки клиентских подключений.

Примечание. Изменения отражаются только после перезапуска администратора очередей.

person Anand Kiran Sade    schedule 16.07.2018
comment
Ананд, обратите внимание, что заданный вопрос касался конкретной версии MQ (7.0). CONNAUTH не был представлен до MQ v8.0, поэтому ваш ответ не относится к этому вопросу. Попробуйте поискать вопросы о CONNAUTH и DISABLE. Один поиск, который дал несколько результатов, это [ibm-mq] CONNAUTH DISABLE. Этот ответ не для этого вопроса и должен быть удален. - person JoshMc; 16.07.2018
comment
Вы можете удалить свой ответ, выбрав ссылку удалить под текстом ответа. - person JoshMc; 23.07.2018