Свойства идентификационной информации

Можно указывать свойства объектов идентификационной информации всех типов. Некоторые свойства применимы не ко всем типам объектов идентификационной информации, некоторые свойства относятся к объектам идентификационной информации z/OS.

В следующих таблицах перечислены свойства, которые можно указать:

Приводятся краткое описание каждого свойства и его настройка. В таблицах также указывается эквивалентный параметр MQSC для команд DEFINE AUTHINFO, ALTER AUTHINFO и DISPLAY AUTHINFO. Дополнительная информация о командах MQSC приведена в разделе Администрирование с помощью команд MQSC в документации по продукту IBM® Knowledge Center.

Общие

В следующей таблице приведены свойства идентификационных данных, доступные для настройки на странице Общие.

Свойство Назначение Параметр MQSC
Имя Authinfo Только для чтения. Имя объекта идентификационных данных после его создания изменить нельзя. AUTHINFO
Тип Authinfo Только для чтения. Тип объекта идентификационных данных после его создания изменить нельзя. AUTHTYPE
Описание Дается имеющее смысл описание назначения объекта идентификационных данных. См. раздел Ввод строк в MQ Explorer. DESCR
Расположение группы совместного использования очередей (QSG) Только для чтения. Размещение группы совместного использования очередей для информационного объекта. Расположение объекта идентификационных данных после его создания изменить нельзя. Администратор очередей означает, что определение объекта доступно только тому администратору очередей, в котором оно располагается. Группа означает, что определение объекта хранится в общем хранилище, и у каждого администратора очередей из группы совместного использования очередей есть его копия. Копия означает, что определение объекта является копией, принадлежащей администратору ресурсов, оригинал которой находится в общем хранилище. QSGDISP

Страница LDAP

В следующей таблице приведены свойства на странице LDAP окна свойств идентификационных данных CRL LDAP или IDPW LDAP, которые можно задавать. На странице LDAP представлены имя и идентификационные данные для сервера LDAP.

Свойство Назначение Параметр MQSC
Имя сервера LDAP Указывается имя хоста, адрес IPv4 в десятичном формате с точками или шестнадцатеричное обозначение IPv6 хоста, на котором запущен сервер LDAP (можно указать номер порта). Если имя соединения задается как адрес IPv6, то распознать его могут только системы с IBM WebSphere MQ 6.0 со стеком IPv6. Если объект идентификационных данных является частью списка имен CRL администратора очередей, то обеспечьте, чтобы все клиенты, использующие таблицу каналов соединений с клиентами, которая создается администратором очередей, могут распознать имя соединения. Для того чтобы в z/OS можно было использовать имя соединения, которое преобразуется в сетевой адрес IPv6, уровень версии z/OS должен поддерживать протокол IPv6 для подключения к серверу LDAP. CONNAME
ИД пользователя Указывается отличительное имя пользователя, который обращается к серверу LDAP, со следующими ограничениями:
  • В IBM i, UNIX и Windows максимальная длина составляет 1024 символов.
  • В z/OS максимальная длина составляет 256 символов.
  • Звездочки (*) в имени пользователя будут рассматриваться как буквенные символы, а не символы подстановки, поскольку ИД пользователя LDAP является конкретным именем, а не строкой для поиска совпадений.
LDAPUSER
Пароль Вводится пароль, который связывается с отличительным именем пользователя, обращающегося к серверу LDAP. Максимальная длина равна 32 символам. LDAPPWD

Страница OCSP

В следующей таблице приведены свойства идентификационных данных OCSP, доступные для настройки на странице OCSP.

Свойство Назначение Параметр MQSC
URL промежуточного клиента OCSP URL для обращения к отвечающей стороне OCSP.

Это свойство обладает более высоким приоритетом по сравнению с URL из расширения сертификата AuthorityInfoAccess (AIA).

OCSPURL

Страница Хранилище пользователей LDAP

В следующей таблице приведены свойства со страницы Хранилище пользователей LDAP окна свойств идентификационных данных IDPW LDAP, которые можно задавать.

Свойство Назначение Параметр MQSC
Эквивалентное короткое имя пользователя Поле записи пользователя LDAP, применяемое в качестве короткого имени пользователя для соединения. SHORTUSR
Базовое DN ИД пользователя Базовый DN применяется для поиска записей пользователей на сервере LDAP. BASEDNU
Использовать безопасное соединение Позволяет разрешить подключение к серверу LDAP с помощью протокола TLS. SECCOMM
Класс объектов пользователей Класс объектов LDAP, применяемый для записей пользователей в хранилище LDAP. CLASSUSR
Подходящее поле пользователя Критерий выбора ИД пользователей, предоставленных приложениями, в качестве поля в записи пользователя LDAP. USRFIELD

Проверка прав доступа LDAP

В следующей таблице приведены свойства со страницы Проверка прав доступа LDAP окна свойств идентификационных данных IDPW LDAP, которые можно задавать.

Свойство Назначение Параметр MQSC
Способ предоставления доступа Способ предоставления доступа - с помощью ИД пользователей и групп из операционной системы или LDAP. Возможные значения:

Операционная система. Доступ предоставляется с помощью ИД пользователей и групп из операционной системы.

Поиск групп. Доступ предоставляется с помощью ИД пользователей и групп из LDAP. Запись группы в хранилище LDAP содержит свойство со списком отличительных имен всех пользователей, принадлежащих группе.

Поиск пользователей. Доступ предоставляется с помощью ИД пользователей и групп из LDAP. Запись пользователя в хранилище LDAP содержит свойство со списком отличительных имен всех групп, которым принадлежит пользователь.

Поиск коротких имен групп. Доступ предоставляется с помощью ИД пользователей и групп из LDAP. Запись группы в хранилище LDAP содержит свойство со списком коротких имен всех пользователей, принадлежащих группе.

AUTHORMD
Разрешить вложенные группы Указывает, разрешены ли вложенные группы. Возможные значения:

Нет. Вложенные группы не разрешены.

Да. Вложенные группы разрешены. Рекурсивный поиск в списке групп позволяет перечислить все группы, в состав которых входит пользователь.

NESTGRP
Базовое DN группы Базовое DN применяется для поиска записей групп на сервере LDAP. BASEDNG
Класс объектов группы Класс объектов LDAP, применяемый для записей групп в хранилище LDAP. CLASSGRP
Квалифицирующее поле группы Критерий выбора группы в качестве поля в записи группы LDAP. GRPFIELD
Поле участия в группе Имя свойства, используемое в записи пользователя или группы LDAP для определения членства в группе. FINDGRP

Страница Идентификационные данные пользователя

В следующей таблице приведены свойства со страницы Идентификационные данные пользователя окна свойств идентификационных данных IDPW OS или IDPW LDAP, которые можно задавать.

Свойство Назначение Параметр MQSC
Проверять локальные соединения Требуются ли ИД пользователя и пароль для соединений на основе локальных привязок. Возможные значения:

Нет. ИД пользователя и пароль не требуются.

Необязательно. ИД пользователя и пароль не требуются, однако если они переданы, то выполняется их проверка.

Требуются для администраторов. ИД пользователя и пароль требуются для пользователей с правами администратора.

Требуются для всех. ИД пользователя и пароль требуются для всех пользователей.

Когда в CHCKLOCL указано Требуются для администраторов или Требуются для всех, то администратор очередей невозможно администрировать локально командами runmqsc, если не указан параметр -u ИД-пользователя в команде runmqsc. Если этот параметр не указан, выдается сообщение об ошибке AMQ8135: Нет прав доступа. Аналогично, когда выполняется IBM MQ Explorer в локальной системе, может выдаваться ошибка AMQ4036: Доступ запрещен при попытке подключиться к администратору очередей.

Для того чтобы указать имя и пароль пользователя, откройте контекстное меню локального объекта администратора очередей и выберите Сведения о соединении > Свойства. В разделе ИД пользователя введите имя и пароль пользователя и нажмите кнопку OK.

CHCKLOCL
Проверить соединения с клиентами Требуются ли ИД пользователя и пароль для соединений клиентов. Возможные значения:

Нет. ИД пользователя и пароль не требуются.

Необязательно. ИД пользователя и пароль не требуются, однако если они предоставлены, то выполняется их проверка.

Требуются для администраторов. ИД пользователя и пароль требуются для пользователей с правами администратора.

Требуются для всех. ИД пользователя и пароль требуются для всех пользователей.

CHCKCLNT
Принять идентифицированного пользователя Позволяет принять ИД пользователя, предоставленный вместе с паролем, в качестве контекста соединения. Возможные значения:

Да. Проверенный ИД пользователя применяется в качестве контекста соединения. Если применяется ИД пользователя LDAP и проверка прав доступа выполняется с помощью ИД пользователей операционной системы, то в качестве идентификационных данных для проверки извлекается параметр SHORTUSR, связанный с записью пользователя в LDAP.

Нет. Проверенный ИД пользователя не будет применяться в качестве контекста соединения.

ADOPTCTX
Задержка сбоя идентификации Это свойство задает задержку перед возвратом кода ошибки в приложение, например, когда не получен ответ на запрос mqmconnx. Укажите время в секундах в диапазоне 0 - 60. Нулевое значение выключает задержку. FAILDLAY

Страница Статистические данные

В следующей таблице приведены свойства идентификационных данных, доступные для настройки на странице Статистика. Страница Статистика содержит информацию о предыстории объекта идентификационных данных. Эти свойства невозможно изменить.

Свойство Назначение Параметр MQSC
Дата изменения Только для чтения. Дата последнего изменения свойств объекта идентификационной информации. ALTDATE
Время изменения Только для чтения. Время последнего изменения свойств объекта идентификационной информации. ALTTIME