2

以下のAUTHRECSの推奨値は何ですか。もちろん、これは要件に応じて微調整する必要があります。

  1. キューマネージャー
  2. QUEUE(ローカル、リモート、dlq)
  3. CHANNEL(サーバー接続、送信者、受信者など)
4

1 に答える 1

2

私は通常、セキュリティのために3つの異なるグループを検討するように人々に言います。

  1. QMgrからQMgrへの接続は、「MCAUSERRCVR / RQSTR / CLUSRCVRチャネルにどの認証を付与しますか?」に要約されます。このカテゴリの役割は、ネットワークセキュリティをどの程度細かくするかによって異なります。ただし、一般的に、隣接するQMgrはローカルQMgrのコマンドキューにアクセスできないようにする必要があります。チャネルのMCAUSERは、QMgrに接続して照会し、実際に必要なキューに配置して設定します。それでおしまい。
  2. アプリケーションからQMgrへ。ここでの「アプリケーション」とは、ロックされたデータセンターにあるビジネスアプリケーションを意味します。これらのアプリケーションは通常、QMgrに接続して照会し、キューとトピックに配置、取得、参照、パブリッシュ、サブスクライブする必要があります。メッセージのコンテキスト情報を設定する機能など、より高度な認証が必要な場合もありますが、それはまれであり、特定のキューに限定されます。
  3. インタラクティブユーザー。このグループには、管理者、匿名ユーザー、およびその間のすべてなど、さまざまな役割があります。これらは、キューやトピック以外のオブジェクトを表示または管理するためにアクセスする必要がある場合があります。

これらのそれぞれには、非常に異なる認証と承認の要件があります。また、メッセージの量、アカウントの安定性、必要な承認など、さまざまな特性があります。

ただし、それらにはすべて共通点がいくつかあります。

  • コマンドキューにアクセスできるすべてのユーザーにQMgrのセットを付与すると、完全な管理者になります。
  • キュー(動的キュー以外)を作成する機能を付与すると、ユーザーは完全な管理者になります。
  • オブジェクトを接続または開くものはすべて、QMgrおよび許可されているオブジェクトについて問い合わせる必要があります。
  • ビジネスアプリケーションには、キューとトピックへの読み取り/書き込みアクセスが必要ですが、他のタイプのオブジェクトは必要ありません。
  • インストルメンテーションは通常、多くのオブジェクトタイプにアクセスする必要がありますが、ビジネスキューのメッセージを読み取ったり更新したりする必要はありません。
  • セキュリティを監視している場合、人間のユーザーは少なくともすべてのオブジェクトへのアクセスを表示する必要があります。これは、オブジェクトを列挙する(たとえば、キュ​​ー画面をペイントする)唯一の方法は、.と同等のPCFを実行することであるためですDIS objType(*)。ユーザーがのすべてのオブジェクトへの表示アクセス権を持っていないobjType場合、表示が発行されたときにQMgrは許可エラーを発行します。
于 2012-08-03T16:48:10.323 に答える