认证信息属性

您可以为所有类型的认证信息对象设置属性。 某些属性不适用于所有类型的认证信息对象,而某些属性特定于 z/OS® 认证信息对象。

以下各表列出了可以设置的属性:

对于每个属性,都有一个简短描述来说明在什么情况下您可能需要配置它。 这些表还给出了 DEFINE、ALTER 和 DISPLAY AUTHINFO 命令的等效 MQSC 参数。 有关 MQSC 命令的更多信息,请参阅 使用 MQSC 命令进行管理

“常规”页面

下表列出了您可以在“认证信息属性”对话框的常规页面上设置的属性。

属性 含义 MQSC 参数
认证信息名称 只读。 在创建了认证信息对象之后,您就不能更改其名称。 AUTHINFO
认证信息类型 只读。 在创建认证信息对象之后,就不能更改其类型。 AUTHTYPE
描述 输入认证信息对象用途的有意义的描述。 请参阅 在 MQ Explorer 中输入字符串 DESCR
QSG 处置 只读。 认证信息对象的队列共享组处置。 在创建了认证信息对象之后,您就不能更改其处置。 Queue manager 表示对象定义仅可用于托管其的队列管理器;Group 表示对象定义存储在共享存储库中,并且队列共享组中的每个队列管理器都具有定义的副本;Copy 表示对象定义是共享存储库中定义的队列管理器副本。 QSGDISP

LDAP 页面

下表列出了您可以在“CRL LDAP 或 IDPW LDAP 认证信息属性”对话框的 LDAP 页面上设置的属性。 LDAP 页面显示 LDAP 服务器的名称和认证信息。

属性 含义 MQSC 参数
LDAP 服务器名称 输入正在运行 LDAP 服务器的主机的主机名、IPv4 点分十进制地址或 IPv6 十六进制表示法以及可选的端口号。 如果将连接名称指定为 IPv6 地址,那么仅正在运行 IBM® WebSphere® MQ 6.0 认证信息对象的系统 (使用 IPv6 堆栈)能够解析此地址。 如果认证信息对象是队列管理器的 CRL 名称列表的一部分,请确保正在使用由队列管理器生成的客户机通道表的任何客户机能够解析连接名称。 在 z/OS 上,要使用解析为 IPv6 网络地址的连接名称,z/OS 的级别必须支持 IPv6 以便连接至 LDAP 服务器。 CONNAME
用户标识 输入正在访问 LDAP 服务器的用户的专有名称,此名称具有以下限制:
  • 在多平台上,最大长度是 1024 个字符。
  • z/OS 上,最大长度是 256 个字符。
  • 如果您在用户名中使用星号(*),那么它们将被当作文字字符处理,而不作为通配符,因为 LDAP 用户标识是一个特定的名称,而不是一个用于匹配的字符串。
LDAPUSER
密码 输入与正在访问 LDAP 服务器的用户的专有名称关联的密码。 最大长度为 32 个字符。 LDAPPWD

OCSP 页面

下表列出了可以在“OCSP 认证信息属性”对话框的 OCSP 页面上设置的属性。

属性 含义 MQSC 参数
OCSP 响应程序 URL 可联系 OCSP 响应程序的 URL。

该属性优先于 AuthorityInfoAccess 证书扩展中的 URL。

OCSPURL

“LDAP 用户存储库”页面

下表列出了您可以在“IDPW LDAP 认证信息属性”对话框的 LDAP 用户存储库页面上设置的属性。

属性 含义 MQSC 参数
同等短用户 LDAP 用户记录中要用作此连接的短用户名的字段。 SHORTUSR
用户标识基本 DN 用于在 LDAP 服务器中查找用户记录的基本 DN。 BASEDNU
使用安全通信 是否使用 TLS 建立到 LDAP 服务器的连接。 SECCOMM
用户对象类 用于 LDAP 存储库中的用户记录的 LDAP 对象类。 CLASSUSR
限定用户字段 允许将应用程序提供的用户标识识别为 LDAP 用户记录中的字段的限定。 USRFIELD

LDAP 授权

下表列出了您可以在“IDPW LDAP 认证信息属性”对话框的 LDAP 授权页面上设置的属性。

属性 含义 MQSC 参数
授权方法 是使用来自操作系统还是 LDAP 的用户标识和组完成授权。 可能的值为:

操作系统。 使用来自操作系统的用户标识和组完成授权。

搜索组。 使用来自 LDAP 的用户标识和组完成授权。 LDAP 存储库中的组条目包含一个属性,用于列出属于此组的所有用户的专有名称。

搜索用户。 使用来自 LDAP 的用户标识和组完成授权。 LDAP 存储库中的用户条目包含一个属性,用于列出此用户所属的组的所有专有名称。

搜索组短名称。 使用来自 LDAP 的用户标识和组完成授权。 LDAP 存储库中的组条目包含一个属性,用于列出属于此组的所有用户的短用户名。

AUTHORMD
允许嵌套组 是否允许嵌套组。 可能的值为:

。 不允许使用嵌套组。

。 允许嵌套组。 以递归方式搜索组列表,以列举用户所属的所有组。

NESTGRP
组基本 DN 用于在 LDAP 服务器中查找组记录的基本 DN。 BASEDNG
组对象类 用于 LDAP 存储库中的组记录的 LDAP 对象类。 CLASSGRP
限定组字段 允许将组标识为 LDAP 组记录中的字段的限定。 GRPFIELD
组成员资格字段 LDAP 用户或组记录中用于确定组成员资格的属性的名称。 FINDGRP

“用户标识 + 密码”页面

下表列出了您可以在“IDPW 操作系统或 IDPW LDAP 认证信息属性”对话框的用户标识 + 密码页面上设置的属性。

属性 含义 MQSC 参数
检查本地绑定的连接 不论是否是使用本地绑定建立连接,连接都必须提供用户标识和密码以供验证。 可能的值为:

。 无需用户标识和密码。

可选。 无需用户标识和密码,但如果提供了用户标识和密码,那么将对其进行检查。

管理员需要。 针对特权用户,用户标识和密码是必需的。

全都需要。 针对所有用户,用户标识和密码是必需的。

除非在 runmqsc 命令行上指定 -u UserID 参数,否则将 CHCKLOCL 设置为 Required for AdministratorsRequired for all 会导致无法通过 runmqsc 命令以本地方式管理队列管理器。 如果未指定此参数,那么您将看到错误消息:AMQ8135: Not authorized。 同样,如果在本地系统上运行 IBM MQ Explorer,那么在尝试连接到队列管理器时,可能会看到错误:AMQ4036: Access not permitted

要指定用户名和密码,请右键单击本地队列管理器对象,然后从菜单中选择 连接详细信息 > 属性 。 在 UserID 部分中,输入用户名和密码,然后单击 确定

CHCKLOCL
检查客户机连接 使用客户机连接建立的连接是否必须提供用户标识和密码以供验证。 可能的值为:

。 无需用户标识和密码。

可选。 无需用户标识和密码,但如果提供了用户标识和密码,那么将对其进行检查。

管理员需要。 针对特权用户,用户标识和密码是必需的。

全都需要。 针对所有用户,用户标识和密码是必需的。

CHCKCLNT
采用已认证的用户 是否采用随密码提供的用户标识作为此连接的上下文。 可能的值为:

。 将采用经过验证的用户标识作为此连接的上下文。 如果提供的用户标识是 LDAP 用户标识,并且使用操作系统用户标识完成授权检查,那么将采用 LDAP 中与用户条目关联的 SHORTUSR 作为要完成授权检查的凭证。

。 将不采用经验证的用户标识作为此连接的上下文。

ADOPTCTX
认证失败延迟 该属性指定在向应用程序返回故障返回码之前延迟的时间,例如,在 mqmconnx 请求未收到任何响应时。 这是以秒为单位的时间长度,范围是 0 - 60。 零值表示不添加延迟。 FAILDLAY

“统计信息”页面

下表列出了您可以在“认证信息属性”对话框的统计信息页面上设置的属性。 统计信息页面显示有关认证信息对象的历史记录的信息。 您不能编辑这些属性中的任何属性的值。

属性 含义 MQSC 参数
变更日期 只读。 这是上次变更认证信息对象属性的日期。 ALTDATE
变更时间 只读。 这是上次变更认证信息对象属性的时间。 ALTTIME