WebSphere 7，配置没有用户 ID 的 JMS Q 连接工厂：MQRC_NOT_AUTHORIZED

Question

我有一个 WebSphere 6 实例和一个 WebSphere 7 实例。每个实例都有一个 WebSphere MQ 消息传递提供程序、一个队列连接工厂和一个以类似方式配置的队列。所有用户 ID 字段均保留为空，身份验证别名保留为“none”。

在 WAS6 中它工作得很好。

在 WAS7 中我收到错误：

JMSWMQ2013：为连接模式为“客户端”且主机名为“10.11.22.33(51001)”的 QueueManager“MYQMNGR”提供的安全身份验证无效。嵌套异常是 com.ibm.msg.client.jms.DetailedJMSSecurityException：JMSWMQ2013：为具有连接模式“Client”和主机名“10.11.22.33(51001)”的 QueueManager“MYQMNGR”提供的安全身份验证无效。请检查您所连接的 QueueManager 上提供的用户名和密码是否正确；嵌套异常为 com.ibm.mq.MQException：JMSCMQ0001：WebSphere MQ 调用失败，代码为“2”（“MQCC_FAILED”），原因为“2035”（“MQRC_NOT_AUTHORIZED”）。

如果未提供用户 ID，WAS7 连接 MQ 的方式与 WAS6 有何不同？

我对该 MQ（版本 7）没有任何可见性或访问权限，从 WAS 6 访问时不需要用户 ID，因此我需要让 WAS7 才能正常工作。

Answer 1

在 WAS 6 中，如果您将管理面板中的用户 ID 留空，则会将空白传递给 WMQ。即使 WMQ 无法确定远程用户，它也会运行该通道，在这种情况下，该通道以消息通道代理 (MCA) 的权限运行，该权限始终是管理性的。因此，在 V6 中，它可以工作。

从 V7 开始，如果您在 WAS 管理面板中将 ID 留空，WMQ 客户端将更加努力地尝试确定要传递的 ID，并将获取 JVM ID 并在 CONNECT 调用中传递该 ID。这就是 2035 的来源。

解决此问题的正确方法是 WMQ 管理员应在 SVRCONN 通道的 MCAUSER 字段中放置一个低特权 ID。该 ID 应该被授权给 Java EE 服务器需要的任何队列，但不能被授权给命令队列和各种其他管理队列。这将解决 WAS 7 发送无法识别的 ID 的问题，并防止任何类型的远程客户端获得该通道的管理员访问权限。

另一种方法是转至 WAS 管理面板进行 WMQ 连接并将用户 ID 设置为 mqm。 （如果 WMQ 在分布式非 Windows 系统上运行，则此方法有效。如果 WMQ 在 Windows、z/OS 或其他系统上运行，请在此处替换平台等效 ID。）虽然这将使 WAS 启动并运行，但它并没有解决事实上，QMgr 公开了管理访问权限。

请参阅 http://t-rob.net/links 上的 WMQ 强化演示和实验室，了解更多信息全面解释如何识别和修复 QMgr 的潜在安全漏洞。