(Russian) Разграничение прав в WebSphere MQ

Sorry, this entry is only available in Russian.

VN:F [1.9.22_1171]
Rating: 0.0/5 (0 votes cast)
Tagged with: , , ,
Posted in WebSphere MQ, Basics
7 comments on “(Russian) Разграничение прав в WebSphere MQ
  1. Александр says:

    Авторизация в MQ – вещь интересная, но бесполезная, так как в MQ нет механизма аутентификации (во всяком случае, до версии 7.5 на AIX). При подключении можно указать любой ID пользователя и работать под ним, получив все его права.

    VA:F [1.9.22_1171]
    Rating: 0 (from 0 votes)
    • Sergey Kirsanov Sergey Kirsanov says:

      Александр, не соглашусь с Вами.
      Да, в MQ до версии 7.5 (включительно) не используется связка “логин-пароль”, но есть записи идентификации канала (сhannel authentication records), которые вместе с авторизацией при грамотной настройке обеспечивают достаточную защиту менеджера.
      В том числе от приведенного Вами случая. Планируем написать о них отдельный пост.
      В WebSphere MQ V8 появилась аутентификация с использованием LDAP.

      VN:F [1.9.22_1171]
      Rating: 0 (from 0 votes)
      • Александр says:

        Поэкспериментировав с настройкой CHLAUTH в MQ 7.5, удалось выяснить два интересных момента. Было создано правило, разрешающее доступ к каналу для администрирования MQ только пользователю с определённой учётной записью myadmuser:

        SET CHLAUTH(ADM.CHANNEL) TYPE(USERMAP) CLNTUSER(‘myadmuser’) USERSRC(CHANNEL)

        Результат:

        DISPLAY CHLAUTH(*)
        30 : DISPLAY CHLAUTH(*)
        AMQ8878: Display channel authentication record details.
        CHLAUTH(ADM.CHANNEL) TYPE(USERMAP)
        CLNTUSER(myadmuser) USERSRC(CHANNEL)

        Если не заключать имя пользователя в одинарные кавычки, то будет создано правило такого вида:

        AMQ8878: Display channel authentication record details.
        CHLAUTH(ADM.CHANNEL) TYPE(USERMAP)
        CLNTUSER(MYADMUSER) USERSRC(CHANNEL)

        При подключении к каналу учитывается регистр имени пользователя, под которым он вошёл в Windows. Например, если он вошёл как myadmuser, а правило создано для MYADMUSER, он не сможет подключиться к каналу. Если создано оба варианта правила (для верхнего и нижнего регистра), то он всё равно не сможет подключиться, если он вошёл в систему как Myadmuser или myAdmUser или как-то ещё.

        И теперь, самое интересное. Если прописать в настройках подключения нужное имя пользователя (например, в MQ Explorer в Connection Properties на вкладке Userid), то правило CHLAUTH сработает, и разрешит доступ, даже если этот пользователь вошёл в Windows под другим именем.

        Вывод: в MQ 7.5 нет аутентификации, и правила CHLAUTH для аутентификации по имени пользователя не имеют практического применения, а только лишь создают видимость защиты MQ.

        VA:F [1.9.22_1171]
        Rating: 0 (from 0 votes)
        • Michael Golubkov Michael Golubkov says:

          Александр, в MQ никогда не было полноценной системы аутентификации и думаю никогда не будет. До версии 5.3 была встроена система аутентификации на основе связки пользователь/пароль, передаваемой с клиента на сервер. На основе этой системы с использованием канальных выходов безопасности можно было реализовать видимость надёжной системы. Однако, IBM отказалась от данного механизма, в пользу доменной аутентификации, что намного надёжней, поскольку до этого имя и пароль хранились в переменных окружения и передавались по сети в открытом виде. Сейчас, как правильно заметил Сергей, появилась возможность использовать LDAP, что в купе с записями идентификации канала позволяет построить надёжную систему. Для любителей хардкора никто не отменял канальные выходы безопасности и SSL.

          VN:F [1.9.22_1171]
          Rating: 0 (from 0 votes)
        • Michael Golubkov Michael Golubkov says:

          “И теперь, самое интересное. Если прописать в настройках подключения нужное имя пользователя (например, в MQ Explorer в Connection Properties на вкладке Userid), то правило CHLAUTH сработает, и разрешит доступ, даже если этот пользователь вошёл в Windows под другим именем”

          Это фича очень полезна администратору, поскольку даёт возможность сразу же проверить правильность созданной им политики для конкретного пользователя.

          А если администратор активировал записи идентификации канала, то подобная подстановка для взлома не имеет смысла, поскольку будет отказ ещё на уровне соединения с менеджером.

          VN:F [1.9.22_1171]
          Rating: 0 (from 0 votes)
        • Sergey Kirsanov Sergey Kirsanov says:

          Вывод правильный лишь наполовину. То что, в MQ нет аутентификации – это да, но мы и не утверждаем обратного. В посте идет речь об разграничении прав доступа к объектам менеджера для разных пользователей – и это имеет практическое применение.
          Например, есть две внешние по отношению к MQ системы. Каждая из них работает со своим набором очередей. Для разграничения прав доступа этих систем создаются два канала и два пользователя, которым устанавливаются права на соответствующие наборы очередей. Вот о чем этот пост.
          Как организовать административный доступ к MQ это отдельная тема.

          VN:F [1.9.22_1171]
          Rating: 0 (from 0 votes)
  2. LordHydra says:

    SSL на каналах, выставление конкретного MCAUSER на канале, выдача для этого MCAUSER необходимых прав, вот решение ситуации с авторизацией и разделением доступа.

    VA:F [1.9.22_1171]
    Rating: +1 (from 1 vote)

Leave a Reply

Your email address will not be published. Required fields are marked *

*

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">

Language: