WebSphereMQ 6.0 のセキュリティ出口を使用して、MQ および MQ - MQ 接続に接続する Java クライアントにセキュリティを提供しています。セキュリティー出口を使用して、キュー・マネージャー、キュー、チャネルに安全に接続する方法を提供します。
セキュリティ出口の使用を完全に回避できるように、最新バージョンのセキュリティメカニズムに変更はありますか?
これが、MQ セキュリティにおける私たちの要件/目標です
Queuemanagers は、適切なユーザー名とパスワードを提供した場合にのみアクセスできるようにする必要があります (セキュリティ出口なしでは 6.0 ではこれが不可能であることはわかっています)。
queuemanager 接続を認証した後の正当なユーザーは、自分のキュー/チャネルにのみアクセスできる必要があります。
ありがとう
短い答え - いいえ。
WMQ v7.0 では、セキュリティを適用できるファーストクラスの WMQ オブジェクトとしてトピックを追加するなど、セキュリティにいくつかの重要な変更を加えました。ただし、WMQ v7.0 でのリモート接続の認証は、v6.0 と同じメカニズム (SSL、出口、またはこれらの組み合わせ) を使用します。WMQ エクスプローラーにはユーザー ID とパスワードを入力する場所がありますが、QMgr はユーザー ID を額面通り (v6.0 以前と同じ) 受け入れるだけで、出口を使用して確認しない限り、パスワードは無視されます。 .
また、ID とパスワードが検証のために WMQ クライアントからサーバー側の出口に送信されるときはいつでも、デフォルトでは送信中の資格情報を保護するものは何もないことにも言及する必要があります。出口ペアを使用する場合、クライアント側とサーバー側の出口が資格情報を送信するためのセッションごとの暗号化をセットアップできる可能性があります。ただし、多くの場合、サーバー側のみの出口は、NULL_SHA または NULL_MD5 以外の暗号スイートを使用する SSL チャネルと組み合わせて使用されます。これにより、出口ペアを必要とせずに、資格情報のセッションごとの保護が提供されます。
私が協力した一部のショップでは、静的キーとソルトを使用して資格情報を暗号化する出口を使用していました。この方法は、盗聴者が実際のパスワードを知ることを防ぎますが、暗号化された文字列は新しい接続要求で単純に再生されるため、セキュリティ レベルはまったくないよりも悪くなります。実際にはセキュリティを強化するわけではなく、セキュリティの印象を与えます。
ここでの本当の秘訣は、パスワードを検証することです。SSL 証明書で十分な場合は、チャネルで SSLPEER を使用して識別名でフィルタリングするか、出口を使用して SSL 証明書をローカル ユーザー ID にマップすることができます。この後者の方法は、http://mrmq.dk からの無料の BlockIP2 出口を使用して可能です(サイトは IBMer が運営していますが、出口コードはコミュニティーによって管理されています)。