解决WebSphere MQ 7.1/7.5通道授权错误2035的问题

"关于Websphere MQ 7.1版本中的通道授权问题及解决方法" 在Websphere MQ 7.1及更高版本中，可能会遇到一个特定的问题，即当试图使用具有MQ管理员权限的用户身份远程通过客户端连接访问队列管理器时，会收到错误代码2035（MQRC_NOT_AUTHORIZED）。这个问题与Websphere MQ 7.1引入的新特性“通道认证记录”（CHLAUTH）有关。 通道认证记录（CHLAUTH）是IBM Websphere MQ自7.1版本开始引入的安全特性，旨在增强网络连接的安全性，防止未经授权的通道访问。默认情况下，CHLAUTH设置为启用状态，这意味着所有通道都需要通过认证才能进行通信。这个新特性可能导致了管理员无法像在6.0或7.0.x版本那样顺利地远程访问队列管理器。 要查看队列管理器的CHLAUTH设置，可以使用`runmqsc`命令行工具，例如：`$runmqsc QmgrName DISPLAYQMGRCHLAUTH`，输出会显示CHLAUTH的当前状态，如果返回`ENABLED`，则表示此功能已启用。 当创建新的队列管理器或升级到7.1及以上版本时，系统会自动生成以下三种类型的通道认证记录： 1. `DISPLAYCHLAUTH(*):` 这是全局通道认证记录，对所有通道进行通用的认证策略设置。 2. `CHLAUTH(SYSTEM.ADMIN.SVRCONN):` 这是针对`SYSTEM.ADMIN.SVRCONN`通道的认证记录，这是一个默认的服务器连接通道，通常用于管理操作。 3. `TYPE(ADDRESSMAP):` 表示地址映射类型，它指定哪个IP地址或地址范围可以连接到队列管理器。 由于这些预设的CHLAUTH规则，即使拥有MQ管理员权限的用户也可能因为未通过认证而被拒绝访问。解决此问题的方法有多种，具体可以根据实际情况选择： 1. **修改CHLAUTH规则**： 可以通过`runmqsc`添加或编辑CHLAUTH规则，允许特定的IP地址、用户标识或SSL证书进行访问。例如，可以添加一个新的ADDRESSMAP记录来授权MQ管理员用户。 2. **临时禁用CHLAUTH**： 如果只是为了测试或排查问题，可以暂时将CHLAUTH设置为DISABLED。但这不建议作为长期解决方案，因为它会降低安全性。 3. **使用用户定义的通道**： 创建一个专用于管理操作的用户定义通道，并配置相应的CHLAUTH规则以允许该通道的访问。 4. **使用认证链**（AUTHINFO）： 可以设置认证链（AUTHINFO）资源，为特定用户或用户组提供认证信息，然后在CHLAUTH规则中引用它。 5. **使用队列管理器的SSL连接**： 如果配置了SSL，可以通过指定SSL证书来增强安全性和授权。 确保正确配置CHLAUTH规则对于维护Websphere MQ环境的安全至关重要。同时，也要注意定期更新和审计这些规则，以适应不断变化的网络环境和安全需求。在调整CHLAUTH设置时，建议遵循最小权限原则，只给予足够的权限以完成所需的任务，避免过度授权。