在 IBM websphere 队列管理器中向域用户授予权限的问题

Posted

技术标签:

【中文标题】在 IBM websphere 队列管理器中向域用户授予权限的问题【英文标题】:Issue with permission grant to domain users in IBM web sphere queue manager 【发布时间】:2014-12-03 10:44:36 【问题描述】:

我有一个名为 xxx\herath 的域用户。当我尝试将此用户添加到队列管理器的“管理权限记录”中时,它给了我

未知用户“herath@xxx”。 (AMQ4808) 严重性:10(警告) 说明: 给定类型的命名实体未在系统上定义。 响应:确保实体已定义且与实体类型匹配。

此用户不在 websphere mq 服务器计算机中作为本地用户。所以我的问题是向域用户授予权限的正确方法是什么?

【问题讨论】:

【参考方案1】:

如果您希望能够解析域 id,则需要在域 id 下运行 MQ。由于 Microsoft 使用 Active Directory,未知用户(即服务器上的本地用户,例如 musr_mqadmin)无法查询域 id 的组成员身份。

https://www.ibm.com/developerworks/community/blogs/aimsupport/entry/websphere_mq_domain_user_security 和信息中心,例如http://www.ibm.com/support/knowledgecenter/SSFKSJ_7.5.0/com.ibm.mq.ins.doc/q008840_.htm

【讨论】:

这很接近,但并不完全正确。本地定义的 MUSR_MQADMIN 可以被授予查询域成员的权限,这取决于 AD 策略,例如服务器本身是否具有域信任关系。 IBM 在指导人们使用域 ID 方面的主要兴趣在于,最大限度地减少他们需要支持的配置数量,并倾向于那些通常可以工作的配置。对于所有相关人员来说,这通常是一件好事,但 IBM 没有强烈警告不要对多个 QMgrs 使用 相同 帐户,这可能会导致灾难性中断。 +1 虽然。

以上是关于在 IBM websphere 队列管理器中向域用户授予权限的问题的主要内容,如果未能解决你的问题,请参考以下文章

IBM Websphere MQ 基本实验操作

IBM websphere MQ远程队列的简单配置

如何正确设置IBM WebSphere MQ 实现群发消息

IBM WebSphere MQ请求/回复方案

IBM WebSphere MQ 请求/回复场景

如何测试客户端跟WebSphere MQ队列管理器的连接