Опубликован: 14.12.2004 | Уровень: для всех | Доступ: платный | ВУЗ: Компания IBM
Лекция 6:

Авторизация и средства администрирования

< Лекция 5 || Лекция 6: 12345 || Лекция 7 >
Аннотация: В лекции описан синтаксис команды setmqaut, предоставляющей права доступа к объектам менеджера очередей, и команды dspmqaut для отображения предоставленных прав доступа. Даны примеры использования этих команд. Рассмотрена настройка служб WebSphere MQ для работы под другой учетной записью (другим пользователем) в среде Windows. Приведены основные команды командного процессора MQSC, работающие на любой платформе (под любой операционной системой), и даны примеры их использования для создания очередей и каналов.

Авторизация и доступ к объектам

В предыдущей лекции были рассмотрены примеры создания интерфейсов передачи данных без учета вопросов авторизации и доступа. WebSphere MQ имеет свой механизм предоставления прав доступа и аутентификации пользователя [ 10 ] . Ограничения по доступу могут быть на уровне удаленного управления менеджером очередей и на уровне доступа к определенным объектам. Основной командой, предоставляющей права доступа к объектам, является команда setmqaut . Синтаксис команды следующий:

setmqaut -m QMgrName -n Profile -t ObjectType
    -s ServiceComponent -remove 
	-p PrincipalName [-g GroupName] 
	MQI authorizations [Administration 
    authorizations] [Generic authorizations]

-m QmgrName - имя менеджера очередей.

-n Profile - имя объекта менеджера, к которому применяется команда. В имени могут использоваться символы групповой замены ( ?, *, ** ). Например, если необходимо произвести авторизацию ко всем очередям, начинающимся на PAY, то опция Profile будет выглядеть

-n PAY*

-t ObjectType - тип объекта менеджера. Может иметь значения q или queue для очередей, prcs или process для процессов, nl или namelist для списков кластеров, authinfo для использования механизма SSL.

-s ServiceComponent - имя установленного сервиса авторизации, с помощью которого будут произведены изменения прав доступа. Параметр не является обязательным.

-remove - лишает прав доступа к объектам, указанным перед ним.

-p PrincipalName или -g GroupName - имя пользователя или группы, для которой производится изменение прав доступа к объектам. Для платформы Windows возможно указание доменной учетной записи в формате userid@domain.

Рассмотрим опции авторизации: MQI authorizations, Administration authorizations и Generic authorizations. Перед данными опциями должны указываться символы " + " или " - ", разрешающие или запрещающие соответствующие действия.

MQI authorizations - опции команды для авторизации MQI. Может принимать значения:

  • altusr - дает возможность использовать имя другой учетной записи для функций MQOPEN и MQPUT1 ;
  • browse - разрешает просмотр сообщений в очереди функцией MQGET, если очередь открыта на просмотр с опцией BROWSE ;
  • connect - разрешает подключение к менеджеру очередей;
  • get - разрешает считывание сообщение из очереди;
  • inq - разрешает считывание значения атрибутов очереди;
  • put - разрешает помещать сообщения в очередь;
  • set - разрешает изменять атрибуты очереди.

Administration authorizations - опции команды для авторизации на выполнение действий. Может принимать значения:

  • chg - изменение атрибутов объекта;
  • clr - удаление сообщений из очереди (доступно только для PCF команд);
  • crt - создание объектов;
  • dsp - просмотр атрибутов объекта

Generic authorizations - опции авторизации для групповых операций. Может принимать значения:

  • all - предоставляет все права на объект;
  • alladm - предоставляет все административные права на объект;
  • allmqi - предоставляет возможность MQI вызова на объект;
  • none - создает в своем механизме аутентификации запись для профиля пользователя не предоставляя ему никаких прав;

Опции команды setmqaut применяются не ко всем объектам менеджера очередей. В таблице 5.1. указано соответствие между опциями и объектами.

Таблица 5.1. Соответствие между опциями команды setmqaut и объектами менеджера очередей
Authority Queue Process Queue manager Namelist Authentication information
all + + + + +
alladm + + + + +
allmqi + + + + +
none + + + + +
altusr - - + - -
browse + - - - -
chg + + + + +
clr + - - - -
connect - - + - -
crt + + + + +
dlt + + + + +
dsp + + + + +
get + - - - -
put + - - - -
inq + + + + +
set + - - - -
< Лекция 5 || Лекция 6: 12345 || Лекция 7 >
Вадим Горячев
Вадим Горячев
Россия
Artem Bardakov
Artem Bardakov
Россия