OK、回答はセール中です。今日は 1 つ購入すると 3 つ無料になります! :-) これらを順番に見てみましょう...
1.A. チャネルの MCAUSER 値は、許可検査が実行される ID です。MCAUSER を空白のDEFINE CHL() CHLTYPE(SVRCONN)ままにすると、接続するクライアントは、接続したい ID を指定できます。指定に失敗した場合、WMQ クライアントは、クライアント アプリが実行されているワークステーションから見たクライアント ユーザーの ID を使用して、それを提示しようとします。チャネル定義の設定MCAUSERにより、クライアント アプリは値を指定できなくなります。
1.B. ルールの MCAUSER は、いくつかの識別基準に基づいてADDRESSMAPをマップするために使用されます。MCAUSER「指定された IP アドレス | ユーザー名 | SSL 識別名でこのチャネルに接続が到着した場合、このID を使用し、他のルールがブロックしない場合はチャネルの実行を許可します。 MCAUSER
マッピング ルールを使用する場合の推奨事項CHLAUTHは、通常、チャネルMCAUSERを実行しないようにユーザー ID ではない値に設定することです。CHLAUTHこのようにして、ルールが MCAUSER をアクセスを許可するための値に上書きしない限り、チャネルはデフォルトで安全な状態になります。Hursley Lab の WMQ ストラテジストである Mark Taylor が、 のような実際のユーザー ID ではない値の使用を提案するまでは、MCAUSERの典型的な値はでした。WMQ V7.1 の時点で、この値は予約済みの作業であり、最近のカンファレンス プレゼンテーションで使用しているものです。nobodyno#body*NOACCESS
2.はい。WMQ は、グループに基づいて承認します。標準的なアドバイスは、セキュリティ要件を「admin」、「app1」、「app2」、「monitoring」、「anonymous」などの役割に分解することです。次に、アクセスが必要なこれらの役割ごとに、グループを作成します。
ただし、アクセス要求は、グループからではなく、一意に識別されるプリンシパルからのものです。承認チェックでは、チェック対象のアカウントが必要になるため、チャネルの MCAUSER は ID であり、承認権限はグループごとに保存されます。ユーザーを適切な権限に関連付けるには、ユーザーを適切なグループに登録します。
これは、職務の分離をサポートする標準の UNIX 承認モデルです。リソース管理者 (WMQ 管理者) がグループを承認します。アカウント管理者は、ユーザー ID をグループに登録します。アクセスを提供するには、両方のグループが必要です。現実の世界では、ほとんどのショップは職務分離機能を利用していませんが、重要なケースでは必須です。
3.並べ替え。V7.1 以降のデフォルトの QMgr では、リモート接続がまったく許可されません。これは、作成時にAUTHRECルールがないため、管理者以外にはアクセスが許可されないためです。管理者は、デフォルトCHLAUTHルールによってリモート アクセスからブロックされます。
指定されたルールを使用すると、誰でもチャネルに正常に接続でき、$cnameとして承認されtcs-mq-userます。同じ権限を持つ別のユーザー ID として接続する場合は、その ID をグループに追加してから、mq-user提示された ID をマップするようにチャネルを設定する必要があります。誰かが接続した ID を強制したい場合は、マッピングを IP アドレスで指定するか、証明書の識別名に基づいて指定する必要があります。
4.いいえ。上記の #2 で述べたように、アクセス要求は常にグループではなくプリンシパルによって行われます。CHLAUTHルールMCAUSERと識別名マッピングの要点は、チャネルが承認チェックに使用するユーザー ID を解決することです。チャネル定義MCAUSERはその ID 解決プロセスのセキュリティ コントロールであるため、グループではなく ID で動作します。
このサイトをまだ見つけていない場合は、T-Rob.netが役に立つかもしれません。特に、Links ページには、カンファレンスでのすべての WMQ Security プレゼンテーションと、私や他の著者の記事へのリンクを掲載しました。