http://t-rob.net/links”rel=“nofollow” 硬拷贝MQ在7月和之前的介绍。 需要记住的是,WMQ没有认证任何东西。 该局根据职业顾问身份和团体授权,但没有任何密码检查。

For situations where QMgrs and clients live on Windows networks, the connection uses the SID and so it appears that some useful authentication was performed. BUT if a connection from a non-Windows platform is attempted, the Windows QMgr uses the string representation of the ID. So for example, if someone has a Linux VM on their desktop they can easily create a user ID called MUSR_MQADMIN and the Windows QMgr will accept the connection. There is a setting that causes the Windows QMgr to only accept connections with SIDS that it can resolve but even there its just a matter of knowing what the SID values are to spoof them on a connection.

这里的教训是any。 即便是视窗上的QMgr,也必须加以配置,以认证远程连接。 在WMQ诉7.1和以后,QMgr具有功能,可绘制X.509号证书,供用户识别器使用,或进行IP过滤。 在第7.1号申诉之前,这些职能需要撤离,例如BlockIP2。 资本信息销售MQAUSX,该功能为BackIP2,+将进行身份验证和密码认证,并得到支持。

The first recommendation is to use a v7.1 QMgr so that you get the CHLAUTH rules for mapping and filtering. Even if you don t use certificates v7.1 limits administrative connections so it is harder for an attacker to gain full admin rights. Then if you need password validation, use SSL channels (to encrypt the password and prevent simply replay attacks) in combination with an exit that you can write yourself or purchase.

仅仅知道,允许与贵国领域外的联系不会带来任何新的挑战。 视窗前7.1 视窗QMgr ,如果没有文化、文化、文化、文化、文化、文化、文化、文化、文化、文化、文化、文化、文化、文化、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言always 有必要大力强调QMgr,即使诚实的用户如果管理人没有为他们设立财务处,就会收到授权错误。

Summary:
For clients originating outside your administrative domain, I d recommend mutually authenticated TLS/SSL channels. The same page I linked to above also contains the WMQ Security Lab guide and scripts which show how to script the creation and exchange of WMQ certs and configure WMQ Explorer with them.

不管怎样,有关任何合法渠道的<代码>MCAUSER,都必须在配置中或从业。 如果当事人获准指定该身份证,则没有任何理由阻止其指定行政身份证。 用于NOT的频道,例如 SYSTEM.DEF.* and SYSTEM.AUTO.*,将文化、文化、文化、文化、文化、文化、文化、文化、文化、文化、文化、文化、文化、文化、文化、文化、文化、文化、文化、文化、文化、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言、语言