WebSphere Application Server 7.0 игнорирует идентификатор пользователя Windows при подключении к MQ

Question

Кто-нибудь сталкивался с проблемой, когда WAS не использует имя пользователя Windows при подключении к ресурсу Websphere MQ?Ни один из наших разработчиков не сталкивался с такой проблемой в прошлом, им удалось отправить имя пользователя через MQ для авторизации.Но у нас есть новая машина разработчика, которая, похоже, не отправляет имя пользователя, и, следовательно, не удается установить соединение с MQ.

Мы попытались указать псевдоним аутентификации J2C для QCF с помощью DefaultPrincipalMapping, ноэто не сработало.

РЕШЕНИЕ: Обнаружено, что проблема была в том, что сервер был установлен и работает как служба Windows.Когда мы создали новый профиль сервера, который запускался пользователем, а не службой, он использовал имя пользователя Windows при подключении к MQ.

Answer 1

Я подозреваю, что проблема на самом деле может быть противоположна тому, что вы описываете.В более старых версиях WAS, если поле Идентификатор пользователя на панели фабрики соединений оставалось пустым, WAS отправляло пустой идентификатор.WebSphere MQ не будет иметь никакого значения для передачи в диспетчер прав доступа к объектам, поэтому канал будет работать под управлением процесса агента канала сообщений, который всегда является административным.Таким образом, старые версии WAS обычно работали с административными правами, хотя это не было широко признано как таковое.В этом можно убедиться, посмотрев на статус работающего канала и проверив, не заполнено ли поле MCAUSER.

В новых версиях WAS теперь немного сложнее найти идентификатор для отправки в WMQ, если панель конфигурациипустой.Из-за этого новые установки и обновления существующих установок часто не могут авторизоваться в WMQ, используя тот же канал, который ранее работал.

Интересная часть всего этого заключается в том, что единственный способ решить эту проблему - это если QMgr имеетпустое значение в атрибуте канала MCAUSER.Если QMgr имеет пустой MCAUSER, и нет выхода, устанавливающего MCAUSER во время CONNECT, то канал разрешает административный доступ.Если канал не имеет SSL с установленным SSLPEER или выходом для аутентификации соединения, тогда этот административный доступ доступен для анонимных пользователей.Почему это проблема?Потому что WebSphere MQ поставляется с возможностью инициировать команды ОС на основе прибытия сообщения.Это означает, что любой пользователь с правами администратора WMQ может удаленно выполнять произвольные команды ОС в качестве функции программного обеспечения .Отсюда следует, что эта возможность ДОЛЖНА быть заблокирована, даже от законных приложений, если требуется какая-либо ответственность за сообщения, проходящие через сеть.

Тот факт, что ваше приложение может предоставить успешный идентификатор, а другойСбой ID, по-видимому, указывает на то, что QMgr разрешает административный доступ, и я бы поспорил с анонимными соединениями.D'о!Гораздо лучше исправить безопасность QMgr, чем исправить проблему соединения, установив «правильный» идентификатор в WAS.Подробнее об этом см. Презентацию Hardening WebSphere MQ на конференции IMPACT.