认证信息属性

您可以为所有类型的认证信息对象设置属性。某些属性并不适用于所有类型的认证信息对象,某些属性只特定于 z/OS® 认证信息对象。

以下各表列出了可以设置的属性:

对于每个属性,都有一个简短描述来说明在什么情况下您可能需要配置它。这些表还给出了 ALTER AUTHINFO 和 DISPLAY AUTHINFO 命令的等效 MQSC 参数。有关 MQSC 命令的更多信息,请参阅 IBM® MQ 联机产品文档中的脚本 (MQSC) 命令

“常规”页面

下表列出了您可以在“认证信息属性”对话框的常规页面上设置的属性。

属性 含义 MQSC 参数
认证信息名称 只读。在创建了认证信息对象之后,您就不能更改其名称。 AUTHINFO
认证信息类型 只读。在创建认证信息对象之后,就不能更改其类型。 AUTHTYPE
描述 输入认证信息对象用途的有意义的描述。请参阅在 MQ 资源管理器中输入字符串 DESCR
QSG 处置 只读。认证信息对象的队列共享组处置。在创建了认证信息对象之后,您就不能更改其处置。队列管理器表示对象定义仅可用于托管它的队列管理器;表示对象定义存储在共享库中,并且队列共享组中的每个队列管理器都有一个此定义的副本;副本表示对象定义是队列管理器的在共享库中的定义的副本。 QSGDISP

LDAP 页面

下表列出了您可以在“CRL LDAP 或 IDPW LDAP 认证信息属性”对话框的 LDAP 页面上设置的属性。LDAP 页面显示 LDAP 服务器的名称和认证信息。

属性 含义 MQSC 参数
LDAP 服务器名称 输入正在运行 LDAP 服务器的主机的主机名、IPv4 点分十进制地址或 IPv6 十六进制表示法以及可选的端口号。如果您将连接名称指定为 IPv6 地址,那么只有正在运行具有 IPv6 堆栈的 IBM WebSphere® MQ V6.0 认证信息对象的系统才可以解析此地址。如果认证信息对象是队列管理器的 CRL 名称列表的一部分,请确保正在使用由队列管理器生成的客户机通道表的任何客户机能够解析连接名称。在 z/OS 上,要使用将会解析为 IPv6 网络地址的连接名称,z/OS 的级别必须支持 IPv6 以便连接至 LDAP 服务器。 CONNAME
用户标识 输入正在访问 LDAP 服务器的用户的专有名称,此名称具有以下限制:
  • IBM iUNIXWindows 上,最大长度是 1024 个字符。
  • z/OS 上,最大长度是 256 个字符。
  • 如果您在用户名中使用星号(*),那么它们将被当作文字字符处理,而不作为通配符,因为 LDAP 用户标识是一个特定的名称,而不是一个用于匹配的字符串。
LDAPUSER
密码 输入与正在访问 LDAP 服务器的用户的专有名称关联的密码。最大长度为 32 个字符。 LDAPPWD

OCSP 页面

下表列出了您可以在“OCSP 认证信息属性”对话框的 OCSP 页面上设置的属性。

属性 含义 MQSC 参数
OCSP 响应程序 URL 可联系 OCSP 响应程序的 URL。

该属性优先于 AuthorityInfoAccess (AIA) 证书扩展中的 URL。

OCSPURL

“LDAP 用户存储库”页面

下表列出了您可以在“IDPW LDAP 认证信息属性”对话框的 LDAP 用户存储库页面上设置的属性。

属性 含义 MQSC 参数
同等短用户 LDAP 用户记录中要用作此连接的短用户名的字段。 SHORTUSR
用户标识基本 DN 用于在 LDAP 服务器中查找用户记录的基本 DN。 BASEDNU
使用安全通信 是否使用 TLS 建立到 LDAP 服务器的连接。 SECCOMM
用户对象类 用于 LDAP 存储库中的用户记录的 LDAP 对象类。 CLASSUSR
限定用户字段 允许将应用程序提供的用户标识识别为 LDAP 用户记录中的字段的限定。 USRFIELD

LDAP 授权

下表列出了您可以在“IDPW LDAP 认证信息属性”对话框的 LDAP 授权页面上设置的属性。

属性 含义 MQSC 参数
授权方法 是使用来自操作系统还是 LDAP 的用户标识和组完成授权。可能的值有以下几个:

操作系统。使用来自操作系统的用户标识和组完成授权。

搜索组。使用来自 LDAP 的用户标识和组完成授权。LDAP 存储库中的组条目包含一个属性,用于列出属于此组的所有用户的专有名称。

搜索用户。使用来自 LDAP 的用户标识和组完成授权。LDAP 存储库中的用户条目包含一个属性,用于列出此用户所属的所有组的专有名称。

[V9.0.5 Mar 2018]搜索组短名称。使用来自 LDAP 的用户标识和组完成授权。LDAP 存储库中的组条目包含一个属性,用于列出属于此组的所有用户的短用户名。

AUTHORMD
允许嵌套组 是否允许嵌套组。可能的值有以下几个:

。不允许嵌套组。

。允许嵌套组。以递归方式搜索组列表,以列举用户所属的所有组。

NESTGRP
组基本 DN 用于在 LDAP 服务器中查找组记录的基本 DN。 BASEDNG
组对象类 用于 LDAP 存储库中的组记录的 LDAP 对象类。 CLASSGRP
限定组字段 允许将组标识为 LDAP 组记录中的字段的限定。 GRPFIELD
组成员资格字段 LDAP 用户或组记录中用于确定组成员资格的属性的名称。 FINDGRP

“用户标识 + 密码”页面

下表列出了您可以在“IDPW OS 或 IDPW LDAP 认证信息属性”对话框的用户标识 + 密码页面上设置的属性。

属性 含义 MQSC 参数
检查本地绑定的连接 不论是否是使用本地绑定建立连接,连接都必须提供用户标识和密码以供验证。可能的值有以下几个:

。无需用户标识和密码。

可选。无需用户标识和密码,但如果提供了用户标识和密码,那么将对其进行检查。

管理员需要。针对特权用户,用户标识和密码是必需的。

全都需要。针对所有用户,用户标识和密码是必需的。

如果将 CHCKLOCL 设置为管理员必需全部用户必需,那么您无法通过 runmqsc 命令来本地管理队列管理器,除非在 runmqsc 命令行上指定了 -u UserID 参数。如果未指定此参数,您将看到错误消息 >AMQ8135: 未授权。类似地,如果在本地系统上运行 IBM MQ Explorer,那么在尝试连接到队列管理器时您可能会看到错误消息 AMQ4036: 不允许访问

要指定用户名和密码,请右键单击本地队列管理器对象,然后从菜单中选择连接详细信息 > 属性。在用户标识部分中,输入用户名和密码,然后单击确定

CHCKLOCL
检查客户机连接 使用客户机连接建立的连接是否必须提供用户标识和密码以供验证。可能的值有以下几个:

。无需用户标识和密码。

可选。无需用户标识和密码,但如果提供了用户标识和密码,那么将对其进行检查。

管理员需要。针对特权用户,用户标识和密码是必需的。

全都需要。针对所有用户,用户标识和密码是必需的。

CHCKCLNT
采用已认证的用户 是否采用随密码提供的用户标识作为此连接的上下文。可能的值有以下几个:

。将采用经过验证的用户标识作为此连接的上下文。如果提供的用户标识是 LDAP 用户标识,并且使用操作系统用户标识完成授权检查,那么将采用 LDAP 中与用户条目关联的 SHORTUSR 作为要完成授权检查的凭证。

。将不采用经过验证的用户标识作为此连接的上下文。

ADOPTCTX
认证失败延迟 该属性指定在向应用程序返回故障返回码之前延迟的时间,例如,在 mqmconnx 请求未收到任何响应时。 这是以秒为单位的时间长度,范围是 0 - 60。零值表示不添加延迟。 FAILDLAY

“统计信息”页面

下表列出了您可以在“认证信息属性”对话框的统计信息页面上设置的属性。统计信息页面显示有关认证信息对象的历史记录的信息。您不能编辑这些属性中的任何属性的值。

属性 含义 MQSC 参数
变更日期 只读。这是上次变更认证信息对象属性的日期。 ALTDATE
变更时间 只读。这是上次变更认证信息对象属性的时间。 ALTTIME

参考 参考

反馈

时间戳记图标 最近一次更新时间: Wednesday, 14 February 2018
http://www.ibm.com/support/knowledgecenter/SSFKSJ_9.0.0/com.ibm.mq.explorer.doc/com.ibm.mq.explorer.doc/e_properties_authinfo.htm