我试图从IBM Websphere Application Server连接到IBM Websphere MQ服务器。MQJMS2013无效安全认证
我收到以下错误:
MQJMS2013: invalid security authentication supplied for MQQueueManager
我明白了什么是,这是由于无效的安全证书由WAS在连接到MQ管理器。
我已经尝试了提供MQ管理员密码的不同组合,例如
而且,在一些职位提到的,我已经试过传输类型为为“绑定”以及“客户”的QueueConnectionFactory。
请建议。
最后得到它的工作,应用组合2天后。
帮助其他(可能我自己在未来也),下面是问题:
我们配置与IBM WebSphere MQ服务器IBM WebSphere应用服务器。我们创建了队列连接工厂,队列和侦听器端口。 我们正在反复讨论有关异常。
它是如何工作的: 当您启动应用程序服务器,即启动服务器应该有MQ访问的用户。即用户应该是组MQM的一部分。只需添加,在向用户添加组之后,请记得重新启动MQ服务器,因为MQ服务器仅在重新启动后刷新权限。
希望这会有所帮助。
一个问题是MQJMS2013可能与QMgr无关。它可能是配置文件权限问题,执行JNDI查找的LDAP凭据,密钥存储问题等。
确定是否真的是WMQ授权异常的一种方法是在QMgr上启用授权事件并重新创建错误。如果它是WMQ身份验证问题,则事件消息将落入SYSTEM.ADMIN.QMGR.EVENT队列中。它将包含用户的ID,呼叫失败的对象,失败的API调用以及呼叫中使用的所有选项。如果您使用SupportPac MO71那么它会为您格式化事件消息。如果您使用WMQ资源管理器,则可以安装SupportPac MS0P来格式化事件消息。
如果您没有收到事件消息,那么连接没有达到WMQ!在这种情况下,您对帐户,组,setmqaut和其他WMQ特定配置没有任何帮助,我会建议enabling tracing。
在绑定模式下,ID呈现的必须与匹配,JVM运行的ID为。在客户端模式下,诊断的另一种方法是将通道的MCAUSER设置为已知的良好值。该频道的MCAUSER将覆盖应用服务器传入的任何ID,并应始终设置为低权限帐户。对于诊断,请将TEMPORARILY设置为'mqm',并且如果连接正常工作将问题隔离为WMQ身份验证问题。
看来这个信息是非常有用的。我在SYSTEM.ADMIN.QMGR.EVENT队列中找到了消息。但消息的详细信息是“MQGET以原因码2080结束”。尝试删除邮件并重新执行! – 2010-12-16 08:10:59
2080是MQRC_TRUNCATED_MSG_FAILED这意味着你可能正在使用amqsget。如果你使用上面提到的工具,他们将得到整个消息*和*格式化为人类可读的文本(事件消息是PCF)。如果你想快速和肮脏的方式来获得信息,使用amqsbcg这将给你一个十六进制转储,然后你可以使用C头文件和一个十六进制计算器进行解码。 – 2010-12-16 12:49:07
绑定或客户端模式?充其量(绑定模式),您只需授予应用服务器授权即可管理WMQ并执行操作系统命令作为mqm用户标识。这在琐碎的应用程序中可以实现,但它相当于为应用程序提供完整的DBA管理权限,而大多数商店绝对不会这样做。为什么他们这样做与WMQ是我的一个谜。在最坏的情况下(客户端绑定),您刚刚向匿名远程用户授予了管理权限。基本上*任何带IP路由到QMgr的人都可以管理它并执行OS命令。那是你的意图吗?见http://bit.ly/17oKEc – 2010-12-16 12:48:19
顺便说一句,无论是与我联系到我的反应,你会在两分钟内,而不是两天整理了这一点的工具。因此,为了帮助其他(可能你自己在未来也),安装这些工具的一个或两个,现在让你不旋转下一次你的车轮。如果您对保护WMQ有任何兴趣,请使用低特权ID和setmqaut命令,而不是在mqm组中粘贴应用程序,并使用低特权MCAUSER锁定所有入站频道!你所做的“工作”意味着应用程序现在可以发送消息,但它几乎从来都不是正确的答案。 – 2010-12-16 13:03:00
+1 Got you!不幸的是,我不是MQ服务器和配置的专家。在服务行业,一切都很重要,我们只需要让事情顺利进行。一般来说,要了解你提到的安全方面,但正如你所提到的,它对于我的环境来说并不是非常重要的!再次感谢! – 2010-12-17 12:10:06