sslのみを使用するユーザー識別

Question

私はIBM MQのSSLセキュリティを設定しました。 Iは、それぞれのチャネルにMCAのユーザIDを設定するので、接続が確立された後に、このユーザは、さらなるアクションのために使用される

ALTER AUTHINFO(SYSTEM.DEFAULT.AUTHINFO.IDPWOS) AUTHTYPE(IDPWOS) CHCKCLNT(OPTIONAL) 

REFRESH SECURITY TYPE(CONNAUTH) 

を使用してI無効なユーザー識別。私はIBM MQのドキュメントをチェックし、ユーザー識別の2つの方法（システムユーザーまたはLDAPを使用して）が存在することを発見しました。今ではユーザー識別をオンにしたいが、システムユーザーまたはLDAPではなく、SSL証明書のみを使用したい。私はユーザーやパスワードを手渡すことも、LDAPを設定することも望まない。

私の質問は、接続の確立（認証）だけでなく、ユーザーの識別にもSSLセキュリティを使用できるかどうかです。

Answer 1

はい証明書の識別名の詳細を使用して、実行中のチャネルが使用するMCAUSERにユーザーをマッピングすることは可能です。これを行うには、CHLAUTH機能を使用します。

DISPLAY QMGR CHLAUTH 

をし、それがない場合は、次のコマンドでそれを有効にします - - ：

、それが有効になっていることを確認します

ALTER QMGR CHLAUTH(ENABLED) 

をMCAUSERにSSL証明書からマッピングするには、次のようなCHLAUTHルールを作成します。 -

SET CHLAUTH(APP1.SSL.SVRCONN) TYPE(SSLPEERMAP) SSLPEER('CN=Morag,O=MQGem') MCAUSER('hughson') 

ここで、APP1.SSL.SVRCONNは私のチャンネル名、文字列SSLPEERフィールドのSubjectのDNは私の証明書であり、 'hughson'はこの証明書からの接続がこのチャンネルに入ったときにMCAUSERで実行中のチャンネルの使用を見たい値です。

この種のルールは、しばしばbackstop rule、および/またはMCAUSERのごみユーザIDと組み合わせられます。したがって、適切なMCAUSERを満たすCHLAUTHルールと一致しない場合、チャネルは実行されません。