考虑工作台的安全性

在该任务期间,考虑决定哪些用户可以在工作台中执行操作的因素。

考虑以下问题:

  1. 运行时是否启用域感知?
  2. 运行时是否禁用域感知?
  3. 保护工作台和配置管理器之间的通道

确保要运行工作台的用户标识不超过 8 个字符。

运行时是否启用域感知?

推荐您在运行时启用域感知。启用该项,则工作台用户的域信息将与用户标识一起流向配置管理器,可以增加安全性。假设您在名为 WKSTN1 的机器上运行配置管理器,且 WKSTN1 是名为 DOMAIN1 的域的成员。来自 DOMAIN2 的用户也想要使用工作台。执行下列步骤:

  1. 将所有域用户或组添加到将在 ACL 中使用的本地组名称。

  2. 您创建配置管理器时,在 mqsicreateaclentry 命令中使用 -m 选项来确保验证用户时考虑了域。

启动工作台时,它会自动将用户标识的域信息发送到配置管理器。在配置管理器中启用域感知,以便访问域信息。

注: 如果您正使用一个用户标识运行配置管理器,同时在另一台计算机上使用不同的用户标识运行代理,则当您尝试为代理部署消息流和消息集时将显示错误消息。若要避免此问题,请进行以下操作:
  • 确保代理的用户标识是 mqm 组和 mqbrkrs 组的成员。
  • 在运行配置管理器的计算机上定义代理的用户标识。
  • 在运行代理的计算机上定义配置管理器的用户标识。
  • 确保所有标识都是小写,从而使它们在计算机间兼容。

运行时是否禁用域感知?

可以将域感知设置为禁用,但运行时使用该选项意味着工作台用户的域信息不会与用户标识信息一起流动,降低了安全性。因此,建议您在运行时启用域感知。

可以在 mqsicreateaclentry 命令中使用 -a 选项,允许用户在不考虑域的情况下进行验证。

要将域感知设置为禁用,则回答以下问题:

  1. 您的工作台用户来自本地域吗?
    1. 否:转至下一个问题。
    2. 是:将所有用户添加到要在 ACL 中使用的本地组。

      转至保护工作台和配置管理器之间的通道

  2. 您的工作台用户来自其他域吗?
    1. 是:将其他域设置为配置管理器计算机的可信域,然后将组和用户从可信域添加到配置管理器的本地组。

要获取进一步的安全性,运行时同时启用域感知和安全出口。 关于安全出口的更多信息,请参阅安全出口

关闭工具箱域感知

不管配置管理器上的域感知如何设置,工具箱都会将用户和域名发送到配置管理器队列管理器。这会在连接队列管理器时出现问题,因为连接、放置或获取消息时安全性是必需的。

要关闭工具箱上的域感知,请通过以下方式运行工具箱:
  1. 更改为 install_dir\eclipse 目录。
  2. 使用 mqsistudio -vmargs -DDomainAware=0 命令运行工具箱。
或者,修改运行工具箱的快捷方式并添加 -vmargs -DDomainAware=0

转至保护工作台和配置管理器之间的通道

保护工作台配置管理器之间的通道

创建并启用一对安全出口,在连接的工作台端和配置管理器端运行。使用这些出口,通过配置管理器计算机上的 Windows 安全性管理器来验证工作台用户。
关于创建并启用安全出口的更多信息,请参阅安全出口
相关任务
使用安全出口
声明 | 商标 | 下载 | 书库 | 支持 | 反馈
Copyright IBM Corporation 1999, 2006 最后一次更新时间:2006/08/14
ap03985_