认证信息属性
您可以为所有类型的认证信息对象设置属性。某些属性并不适用于所有类型的认证信息对象,某些属性只特定于 z/OS® 认证信息对象。
以下各表列出了可以设置的属性:
对于每个属性,都有一个简短描述来说明在什么情况下您可能需要配置它。这些表还给出了 ALTER AUTHINFO 和 DISPLAY AUTHINFO 命令的等效 MQSC 参数。有关 MQSC 命令的更多信息,请参阅 IBM® MQ 联机产品文档中的脚本 (MQSC) 命令。
“常规”页面
下表列出了您可以在“认证信息属性”对话框的常规页面上设置的属性。
属性 | 含义 | MQSC 参数 |
---|---|---|
认证信息名称 | 只读。在创建了认证信息对象之后,您就不能更改其名称。 | AUTHINFO |
认证信息类型 | 只读。在创建认证信息对象之后,就不能更改其类型。 | AUTHTYPE |
描述 | 输入认证信息对象用途的有意义的描述。请参阅在 MQ 资源管理器中输入字符串。 | DESCR |
QSG 处置 | 只读。认证信息对象的队列共享组处置。在创建了认证信息对象之后,您就不能更改其处置。队列管理器表示对象定义仅可用于托管它的队列管理器;组表示对象定义存储在共享库中,并且队列共享组中的每个队列管理器都有一个此定义的副本;副本表示对象定义是队列管理器的在共享库中的定义的副本。 | QSGDISP |
LDAP 页面
下表列出了您可以在“CRL LDAP 或 IDPW LDAP 认证信息属性”对话框的 LDAP 页面上设置的属性。LDAP 页面显示 LDAP 服务器的名称和认证信息。
属性 | 含义 | MQSC 参数 |
---|---|---|
LDAP 服务器名称 | 输入正在运行 LDAP 服务器的主机的主机名、IPv4 点分十进制地址或 IPv6 十六进制表示法以及可选的端口号。如果您将连接名称指定为 IPv6 地址,那么只有正在运行具有 IPv6 堆栈的 IBM WebSphere® MQ V6.0 认证信息对象的系统才可以解析此地址。如果认证信息对象是队列管理器的 CRL 名称列表的一部分,请确保正在使用由队列管理器生成的客户机通道表的任何客户机能够解析连接名称。在 z/OS 上,要使用将会解析为 IPv6 网络地址的连接名称,z/OS 的级别必须支持 IPv6 以便连接至 LDAP 服务器。 | CONNAME |
用户标识 | 输入正在访问 LDAP 服务器的用户的专有名称,此名称具有以下限制:
|
LDAPUSER |
密码 | 输入与正在访问 LDAP 服务器的用户的专有名称关联的密码。最大长度为 32 个字符。 | LDAPPWD |
OCSP 页面
下表列出了您可以在“OCSP 认证信息属性”对话框的 OCSP 页面上设置的属性。
属性 | 含义 | MQSC 参数 |
---|---|---|
OCSP 响应程序 URL | 可联系 OCSP 响应程序的 URL。 该属性优先于 AuthorityInfoAccess (AIA) 证书扩展中的 URL。 |
OCSPURL |
“LDAP 用户存储库”页面
下表列出了您可以在“IDPW LDAP 认证信息属性”对话框的 LDAP 用户存储库页面上设置的属性。
属性 | 含义 | MQSC 参数 |
---|---|---|
同等短用户 | LDAP 用户记录中要用作此连接的短用户名的字段。 | SHORTUSR |
用户标识基本 DN | 用于在 LDAP 服务器中查找用户记录的基本 DN。 | BASEDNU |
使用安全通信 | 是否使用 TLS 建立到 LDAP 服务器的连接。 | SECCOMM |
用户对象类 | 用于 LDAP 存储库中的用户记录的 LDAP 对象类。 | CLASSUSR |
限定用户字段 | 允许将应用程序提供的用户标识识别为 LDAP 用户记录中的字段的限定。 | USRFIELD |
LDAP 授权
下表列出了您可以在“IDPW LDAP 认证信息属性”对话框的 LDAP 授权页面上设置的属性。
属性 | 含义 | MQSC 参数 |
---|---|---|
授权方法 | 是使用来自操作系统还是 LDAP 的用户标识和组完成授权。可能的值有以下几个: 操作系统。使用来自操作系统的用户标识和组完成授权。 搜索组。使用来自 LDAP 的用户标识和组完成授权。LDAP 存储库中的组条目包含一个属性,用于列出属于此组的所有用户的专有名称。 搜索用户。使用来自 LDAP 的用户标识和组完成授权。LDAP 存储库中的用户条目包含一个属性,用于列出此用户所属的所有组的专有名称。
|
AUTHORMD |
允许嵌套组 | 是否允许嵌套组。可能的值有以下几个: 否。不允许嵌套组。 是。允许嵌套组。以递归方式搜索组列表,以列举用户所属的所有组。 |
NESTGRP |
组基本 DN | 用于在 LDAP 服务器中查找组记录的基本 DN。 | BASEDNG |
组对象类 | 用于 LDAP 存储库中的组记录的 LDAP 对象类。 | CLASSGRP |
限定组字段 | 允许将组标识为 LDAP 组记录中的字段的限定。 | GRPFIELD |
组成员资格字段 | LDAP 用户或组记录中用于确定组成员资格的属性的名称。 | FINDGRP |
“用户标识 + 密码”页面
下表列出了您可以在“IDPW OS 或 IDPW LDAP 认证信息属性”对话框的用户标识 + 密码页面上设置的属性。
属性 | 含义 | MQSC 参数 |
---|---|---|
检查本地绑定的连接 | 不论是否是使用本地绑定建立连接,连接都必须提供用户标识和密码以供验证。可能的值有以下几个: 无。无需用户标识和密码。 可选。无需用户标识和密码,但如果提供了用户标识和密码,那么将对其进行检查。 管理员需要。针对特权用户,用户标识和密码是必需的。 全都需要。针对所有用户,用户标识和密码是必需的。 如果将 CHCKLOCL 设置为管理员必需或全部用户必需,那么您无法通过 runmqsc 命令来本地管理队列管理器,除非在 runmqsc 命令行上指定了 -u UserID 参数。如果未指定此参数,您将看到错误消息 >AMQ8135: 未授权。类似地,如果在本地系统上运行 IBM MQ Explorer,那么在尝试连接到队列管理器时您可能会看到错误消息 AMQ4036: 不允许访问。 要指定用户名和密码,请右键单击本地队列管理器对象,然后从菜单中选择确定。 。在用户标识部分中,输入用户名和密码,然后单击 |
CHCKLOCL |
检查客户机连接 | 使用客户机连接建立的连接是否必须提供用户标识和密码以供验证。可能的值有以下几个: 无。无需用户标识和密码。 可选。无需用户标识和密码,但如果提供了用户标识和密码,那么将对其进行检查。 管理员需要。针对特权用户,用户标识和密码是必需的。 全都需要。针对所有用户,用户标识和密码是必需的。 |
CHCKCLNT |
采用已认证的用户 | 是否采用随密码提供的用户标识作为此连接的上下文。可能的值有以下几个: 是。将采用经过验证的用户标识作为此连接的上下文。如果提供的用户标识是 LDAP 用户标识,并且使用操作系统用户标识完成授权检查,那么将采用 LDAP 中与用户条目关联的 SHORTUSR 作为要完成授权检查的凭证。 否。将不采用经过验证的用户标识作为此连接的上下文。 |
ADOPTCTX |
认证失败延迟 | 该属性指定在向应用程序返回故障返回码之前延迟的时间,例如,在 mqmconnx 请求未收到任何响应时。 这是以秒为单位的时间长度,范围是 0 - 60。零值表示不添加延迟。 | FAILDLAY |
“统计信息”页面
下表列出了您可以在“认证信息属性”对话框的统计信息页面上设置的属性。统计信息页面显示有关认证信息对象的历史记录的信息。您不能编辑这些属性中的任何属性的值。
属性 | 含义 | MQSC 参数 |
---|---|---|
变更日期 | 只读。这是上次变更认证信息对象属性的日期。 | ALTDATE |
变更时间 | 只读。这是上次变更认证信息对象属性的时间。 | ALTTIME |