В WAS 6, если вы не указали идентификатор пользователя на панели администрирования, в WMQ был передан пробел. WMQ будет запускать канал, даже если он не может определить удаленного пользователя, и в этом случае канал работает с полномочиями агента канала сообщений (MCA), который всегда является административным. Следовательно, в V6 это работает.
Начиная с V7, клиент WMQ будет немного стараться определить, какой ID передать, если вы оставите его пустым в панели администратора WAS, и получит идентификатор JVM и передаст его при вызове CONNECT. Это источник 2035 года.
Правильный способ исправить это - администратор WMQ должен поместить идентификатор с низким уровнем привилегий в поле MCAUSER канала SVRCONN. Идентификатор должен быть авторизован для любых очередей, которые нужны серверу Java EE, но не для очереди команд и других административных очередей. Это решит проблему, связанную с тем, что WAS 7 отправляет нераспознанный идентификатор , а предотвращает получение доступа администратора любого типа на этом канале.
Альтернативой является переход к панели администратора WAS для соединения WMQ и установка идентификатора пользователя на mqm. (Это работает, если WMQ работает в распределенной системе, отличной от Windows. Если WMQ работает в Windows, z / OS или чем-то еще, подставьте здесь эквивалентный идентификатор платформы.) Хотя это запустит WAS и работает, он не обращается к тот факт, что QMgr предоставляет административный доступ.
Пожалуйста, ознакомьтесь с презентацией и лабораторией WMQ Hardening по адресу http://t -rob.net / links для более полного объяснения того, как определить и устранить основную уязвимость в QMgr.