在 IBM websphere 队列管理器中向域用户授予权限的问题

Posted 2023-02-23

【中文标题】在 IBM websphere 队列管理器中向域用户授予权限的问题

【英文标题】：Issue with permission grant to domain users in IBM web sphere queue manager

【发布时间】：2014-12-03 10:44:36

【问题描述】：

我有一个名为 xxx\herath 的域用户。当我尝试将此用户添加到队列管理器的“管理权限记录”中时，它给了我

未知用户“herath@xxx”。 (AMQ4808) 严重性：10（警告） 说明: 给定类型的命名实体未在系统上定义。 响应：确保实体已定义且与实体类型匹配。

此用户不在 websphere mq 服务器计算机中作为本地用户。所以我的问题是向域用户授予权限的正确方法是什么？

【参考方案1】：

如果您希望能够解析域 id，则需要在域 id 下运行 MQ。由于 Microsoft 使用 Active Directory，未知用户（即服务器上的本地用户，例如 musr_mqadmin）无法查询域 id 的组成员身份。

https://www.ibm.com/developerworks/community/blogs/aimsupport/entry/websphere_mq_domain_user_security 和信息中心，例如http://www.ibm.com/support/knowledgecenter/SSFKSJ_7.5.0/com.ibm.mq.ins.doc/q008840_.htm

【讨论】：

这很接近，但并不完全正确。本地定义的 MUSR_MQADMIN 可以被授予查询域成员的权限，这取决于 AD 策略，例如服务器本身是否具有域信任关系。 IBM 在指导人们使用域 ID 方面的主要兴趣在于，最大限度地减少他们需要支持的配置数量，并倾向于那些通常可以工作的配置。对于所有相关人员来说，这通常是一件好事，但 IBM 没有强烈警告不要对多个 QMgrs 使用 相同 帐户，这可能会导致灾难性中断。 +1 虽然。