Россия |
Авторизация и средства администрирования
Авторизация и доступ к объектам
В предыдущей лекции были рассмотрены примеры создания интерфейсов передачи данных без учета вопросов авторизации и доступа. WebSphere MQ имеет свой механизм предоставления прав доступа и аутентификации пользователя [ 10 ] . Ограничения по доступу могут быть на уровне удаленного управления менеджером очередей и на уровне доступа к определенным объектам. Основной командой, предоставляющей права доступа к объектам, является команда setmqaut . Синтаксис команды следующий:
setmqaut -m QMgrName -n Profile -t ObjectType -s ServiceComponent -remove -p PrincipalName [-g GroupName] MQI authorizations [Administration authorizations] [Generic authorizations]
-m QmgrName - имя менеджера очередей.
-n Profile - имя объекта менеджера, к которому применяется команда. В имени могут использоваться символы групповой замены ( ?, *, ** ). Например, если необходимо произвести авторизацию ко всем очередям, начинающимся на PAY, то опция Profile будет выглядеть
-n PAY*
-t ObjectType - тип объекта менеджера. Может иметь значения q или queue для очередей, prcs или process для процессов, nl или namelist для списков кластеров, authinfo для использования механизма SSL.
-s ServiceComponent - имя установленного сервиса авторизации, с помощью которого будут произведены изменения прав доступа. Параметр не является обязательным.
-remove - лишает прав доступа к объектам, указанным перед ним.
-p PrincipalName или -g GroupName - имя пользователя или группы, для которой производится изменение прав доступа к объектам. Для платформы Windows возможно указание доменной учетной записи в формате userid@domain.
Рассмотрим опции авторизации: MQI authorizations, Administration authorizations и Generic authorizations. Перед данными опциями должны указываться символы " + " или " - ", разрешающие или запрещающие соответствующие действия.
MQI authorizations - опции команды для авторизации MQI. Может принимать значения:
- altusr - дает возможность использовать имя другой учетной записи для функций MQOPEN и MQPUT1 ;
- browse - разрешает просмотр сообщений в очереди функцией MQGET, если очередь открыта на просмотр с опцией BROWSE ;
- connect - разрешает подключение к менеджеру очередей;
- get - разрешает считывание сообщение из очереди;
- inq - разрешает считывание значения атрибутов очереди;
- put - разрешает помещать сообщения в очередь;
- set - разрешает изменять атрибуты очереди.
Administration authorizations - опции команды для авторизации на выполнение действий. Может принимать значения:
- chg - изменение атрибутов объекта;
- clr - удаление сообщений из очереди (доступно только для PCF команд);
- crt - создание объектов;
- dsp - просмотр атрибутов объекта
Generic authorizations - опции авторизации для групповых операций. Может принимать значения:
- all - предоставляет все права на объект;
- alladm - предоставляет все административные права на объект;
- allmqi - предоставляет возможность MQI вызова на объект;
- none - создает в своем механизме аутентификации запись для профиля пользователя не предоставляя ему никаких прав;
Опции команды setmqaut применяются не ко всем объектам менеджера очередей. В таблице 5.1. указано соответствие между опциями и объектами.