Guide MQ du 30/09/2014. De la version 7.0 à la version 8.0 : Sécurité Client MQ. Guide MQ du 30/09/2014. Objet



Documents pareils
Sécurité WebSphere MQ V 5.3

Explorateur WebSphere MQ Nouveautés version 7.5 & Plugins

Guide de démarrage Intellipool Network Monitor

Comment utiliser mon compte alumni?


Guide MQ du 6 Mars WebSphere MQ et Haute Disponibilité

Guide de l'utilisateur

Introduction à WebSphere MQ

Manuel d'utilisation du client VPN Édition 1

Installation et configuration de Vulture Lundi 2 février 2009

Restriction sur matériels d impression

Haute Disponibilité de l environnement WMQ Outils & Méthodes

Systèmes vidéo Cisco TelePresence

Déployer une application Web avec WebMatrix et Ma Plateforme Web

DirXML License Auditing Tool version Guide de l'utilisateur

Présentation du relais HTTP Open Source Vulture. Arnaud Desmons Jérémie Jourdin

Documentation support technique

Installation du point d'accès Wi-Fi au réseau

CONFIGURATION DU SERVEUR WEB INTEGRE POUR L'ACTIVATION DE LA FONCTION AUTOSEND ET L'ENVOI D' S HP QUICKPAGE

Microsoft Hosted Exchange 2010 DOCUMENT D EXPLOITATION

Microsoft Windows NT Server

Chap.9: SNMP: Simple Network Management Protocol

NOTE D'APPLICATION CONCERNANT LA MISE EN SERVICE DE MATERIELS SUR RESEAU IP

Note Technique Sécurité. Système d'authentification. Authentification hors APN LuxGSM Authentification 3G/APN. Système de notification

BMC Middleware Management

À propos de l'canon Mobile Scanning MEAP Application

Guide d'inscription pour obtenir un certificat ssl thawte

2) Téléchargement de l'application pour contrôler vos caméras :

Guide d'installation du token

Petit guide d'installation de l'option de connexion réseau

TUTORIEL RADIUS. I. Qu est-ce que RADIUS? II. Création d un groupe et d utilisateur

Guide de configuration pour accès au réseau Wifi sécurisé 802.1X

SnomOne / Cloud OpenIP

domovea Portier tebis

STATISTICA Version 12 : Instructions d'installation

S28 - La mise en œuvre de SSO (Single Sign On) avec EIM (Enterprise Identity Mapping)

Sur un ordinateur exécutant Windows 2000 Server Ayant une adresse IP statique

RTE Technologies. RTE Geoloc. Configuration avec Proxy ou Firewall

Configuration d'un annuaire LDAP

PIXMA MG5500. series. Guide d'installation

Installation et configuration du CWAS dans une architecture à 2 pare-feux

Standard. Manuel d installation

Augmenter la portée de votre WiFi avec un répéteur

KASPERSKY LABS. Kaspersky Administration Kit 6.0. Guide de deploiement

Transport Layer Security (TLS) Guide de mise en œuvre. Version: 1.0

Installation de GFI FAXmaker

II/ Le modèle OSI II.1/ Présentation du modèle OSI(Open Systems Interconnection)

Configuration de routeur D-Link Par G225

PORTAIL INTERNET DECLARATIF. Configuration du client Mail de MICROSOFT VISTA

Configuration de l'accès distant

Vérification intégrée de l'utilisateur Guide d'implémentation client Confidentiel Version 2.9

Movie Cube. Manuel utilisateur pour la fonction sans fil WiFi

Présentation du modèle OSI(Open Systems Interconnection)

Linux sécurité des réseaux

VAMT 2.0. Activation de Windows 7 en collège

SYSTEMES ELECTRONIQUES NUMERIQUES

Protocoles réseaux. Abréviation de Binary Digit. C'est la plus petite unité d'information (0, 1).

Proxy et reverse proxy. Serveurs mandataires et relais inverses

GENERALITES. COURS TCP/IP Niveau 1

Réseaux. Moyens de sécurisation. Plan. Evolutions topologiques des réseaux locaux

Serveur FTP. 20 décembre. Windows Server 2008R2

Logiciel Version 1.0 ConnectKey TM Share to Cloud Avril Xerox ConnectKey Share to Cloud Guide de l'utilisateur et de l'administrateur

Artica. VIPTrack avec la Messagerie. Révision Du 21 Mars version

[ Sécurisation des canaux de communication

1. Présentation de WPA et 802.1X

Chapitre 3 Configuration et maintenance

Guide d'utilisation du portail d'authentification Cerbère à usage des professionnels et des particuliers

Installation du transfert de fichier sécurisé sur le serveur orphanet

MANUEL D INSTALLATION Sous WINDOWS

1 INTRODUCTION 2 2 PRE-REQUIS Export du certificat du serveur Date et heure du système Téléchargement du logiciel du terminal 2

Dispositions relatives à l'installation :

Mise en place de votre connexion à Etoile Accises via Internet sécurisé

Utiliser le portail d accès distant Pour les personnels de l université LYON1

Mise en œuvre de VMware View View 4.0

Guide d'installation NSi Mobile. Version 6.2

VXPERT SYSTEMES. CITRIX NETSCALER 10.1 et SMS PASSCODE 6.2. Guide d installation et de configuration pour Xenapp 6.5 avec SMS PASSCODE 6.

Sécurisez votre serveur Web Internet Information Services de Microsoft (MS IIS) avec un certificat numérique de thawte thawte thawte thawte thawte

Ministère de l'approvisionnement et des Services. Guide de l'utilisateur de Web Express de RSA (version 1.2)

Web Front-End Installation Guide HOPEX V1R2-V1R3 FR. Révisé le : 17 août 2015 Créé le : 12 mars Olivier SCHIAVI

Direction des Systèmes d'information

Windows Internet Name Service (WINS)

Guide d'utilisation de Wireless Image Utility

contact@nqicorp.com - Web :

TeamViewer 9 Manuel Wake-on-LAN

Les messages d erreur d'applidis Client

FreeNAS Shere. Par THOREZ Nicolas

WINDOWS NT 2000: Travaux Pratiques. -Boîtier partage d'imprimante- Michel Cabaré Janvier 2002 ver 1.0

Procédure d'installation complète de Click&Decide sur un serveur

avast! EP: Installer avast! Small Office Administration

COURS 5 Mettre son site en ligne! Exporter son site avec WordPress Duplicator Installer un logiciel FTP Faire le suivi des visites de son site avec

Administration de la base de données COMOS. Platform Administration de la base de données. Marques. Conditions requises. MS SQL Server 2005/2008

Accès réseau Banque-Carrefour par l Internet Version /06/2005

SIP. Sommaire. Internet Multimédia

Administration de VMware View

Routeur TP-Link Lite-N sans fil 4 Port 150Mbps WiFi (TL-WR741ND) Manuel de l utilisateur

TP 6 : Wifi Sécurité

Plan. Le système de transfert de fichiers d'internet. Introduction aux systèmes de transfert de fichiers Le protocole FTP.

Transcription:

De la version 7.0 à la version 8.0 : Sécurité Client MQ Luc-Michel Demey LMD@demey-consulting.fr +33 6 08 755 655 Version 1.01 Septembre 2013 Objet Accès à un Queue Manager via un client MQ Avec des outils d administration (MO71, Explorateur MQ) Avec une application client Sous un compte «mqadmin» ou non Evolution de la situation entre la V7.0 et la V8.0 2 Client MQ et sécurité : de la V7 à la V8 1

Rappel du mode client MQ Host name ou IP hébergeant le serveur Port du listener Nom du canal SVRCONN à contacter Listener TCP/IP QMA Application Mode MQ Client SVRCONN Put Proxy MQSERVEUR mqclient.ini CCDT properties Q1 3 Accès au QM en version 7.0 WMQ 7.0.1.6, Queue Manager : LMD_SEC Canal SVRCONN : ADMIN, valeurs par défaut Utilisation coté client d un compte «mqadmin» : Rappel : MCAUSER = mode «open bar» 4 Client MQ et sécurité : de la V7 à la V8 2

Accès au QM en version 7.0 WMQ 7.0.1.6, Queue Manager : LMD_SEC Canal SVRCONN : ADMIN, valeurs par défaut Utilisation coté client d un compte classique : KO 5 Accès au QM en version 7.0 Solution 1 : Positionnement dans le canal SVRCONN d un MCAUSER de type «mqadmin» : mqm, MUSR_MQADMIN Mauvaise solution : (Open Bar) 2 Solution 2 : Création d un compte spécifique : mq_cli N appartenant pas à un groupe «mqadmin» alter channel(admin) chltype(svrconn) mcauser(mq_cli) SETMQAUT sélectifs sur ce compte Problème : protection de ce canal (SSL, exits, ) 6 Client MQ et sécurité : de la V7 à la V8 3

Nouveauté 7.1 : CHLAUTH «Firewall» sur les canaux Règles par défaut pour les nouveaux QM Comportement inchangé pour les QM migrés depuis la 7.0 Paramètre CHLAUTH au niveau du QM (Enabled/ Disabled) 7 WMQ 7.5.0.2, Queue Manager : LMD_SEC Canal SVRCONN : ADMIN, valeurs par défaut Utilisation coté client d un compte «mqadmin» : KO 8 Client MQ et sécurité : de la V7 à la V8 4

AMQERR01.LOG : AMQ9776: Le canal a été bloqué par l'id utilisateur. EXPLICATION : Le canal entrant 'ADMIN' a été bloqué à partir de l'adresse '127.0.0.1' parce que les valeurs actives du canal étaient mappées sur un ID utilisateur qui devrait être bloqué. Les valeurs actives du canal étaient 'MCAUSER(lmd) CLNTUSER(lmd)'. ACTION : Prenez contact avec l'administrateur système qui examinera les enregistrements d'authentification de canal pour s'assurer que les paramètres corrects ont été configurés. Le commutateur ALTER QMGR CHLAUTH permet de contrôler si les enregistrements d'authentification de canal sont utilisés. La commande DISPLAY CHLAUTH peut être utilisée pour interroger les enregistrements d'authentification de canal. 9 Trois règles appliquées par défaut pour les QM crées depuis MQ 7.1: dis chlauth(*) CHLAUTH(SYSTEM.ADMIN.SVRCONN) TYPE(ADDRESSMAP) ADDRESS(*) USERSRC(CHANNEL) CHLAUTH(SYSTEM.*) TYPE(ADDRESSMAP) ADDRESS(*) USERSRC(NOACCESS) CHLAUTH(*) TYPE(BLOCKUSER) USERLIST(*MQADMIN) Pour le canal ADMIN, en l absence de règle plus spécifique, la 3 ième s applique : USERSRC(CHANNEL) bloqué 10 Client MQ et sécurité : de la V7 à la V8 5

Tentative d utilisation du canal SYSTEM.ADMIN.SVRCONN Trois règles appliquées par défaut pour les QM crées depuis MQ 7.1: dis chlauth(*) CHLAUTH(SYSTEM.ADMIN.SVRCONN) TYPE(ADDRESSMAP) ADDRESS(*) USERSRC(CHANNEL) CHLAUTH(SYSTEM.*) TYPE(ADDRESSMAP) ADDRESS(*) USERSRC(NOACCESS) CHLAUTH(*) TYPE(BLOCKUSER) USERLIST(*MQADMIN) Pour le canal SYSTEM.ADMIN.SVRCONN, la 1 ère règle s applique : USERSRC(CHANNEL), puis la 3 ième : TYPE(BLOCKUSER) USERLIST(*MQADMIN) bloqué 11 Solution 1 : Casser la sécurité CHLAUTH : ALTER QMGR CHLAUTH(DISABLED) Retour au fonctionnement type 7.0 Impossible d utiliser les CHLAUTH pour protéger les (autres) canaux 12 Client MQ et sécurité : de la V7 à la V8 6

Solution 2 : Pour le canal ADMIN, créer une règle «plus spécifique» que CHLAUTH(*) TYPE(BLOCKUSER) USERLIST(*MQADMIN) Par exemple : SET CHLAUTH(ADMIN) TYPE(BLOCKUSER) USERLIST(toto) Résultat OK, mais : Situation équivalente à MQ 7.0 et MCAUSER( ) pour ce canal Utilisation des CHLAUTH possible pour les autres canaux 13 Solution 3 : Ajout d une règle autorisant spécifiquement certains compte SET CHLAUTH('ADMIN') TYPE(USERMAP) CLNTUSER('lmd') + USERSRC(CHANNEL) ACTION(ADD) Résultat OK, mais : Sécurité faible : si on spécifie un des comptes autorisés Mieux que les solutions 1 & 2 14 Client MQ et sécurité : de la V7 à la V8 7

Solution 4 : Affecter à chaque administrateur MQ une identité à travers un certificat SSL Utiliser CHLAUTH pour contrôler l accès au QM via un canal spécifique Exemple : SET CHLAUTH('ADMIN') TYPE(SSLPEERMAP) + SSLPEER('OU="Admin MQ"') USERSRC(CHANNEL) ACTION(ADD) 15 Accès au QM en version 8.0 Configuration identique à WMQ 7.5 : DEFINE CHANNEL(ADMIN) CHLTYPE(SVRCONN) REPLACE SET CHLAUTH('ADMIN') TYPE(BLOCKUSER) + USERLIST('toto') WARN(NO) ACTION(ADD) Résultat : KO 16 Client MQ et sécurité : de la V7 à la V8 8

Analyse du AMQERR01.LOG AMQ5540: L'application mqmonntp.exe n'a pas fourni d'id utilisateur et de mot de passe EXPLICATION : Le gestionnaire de files d'attente est configuré pour nécessiter un ID utilisateur et un mot de passe, mais ni l'un ni l'autre n'a été fourni. ACTION : Assurez-vous que l'application fournit un ID utilisateur et un mot de passe valides ou spécifiez FACULTATIF pour la configuration du gestionnaire de files d'attente afin de permettre aux applications n'ayant pas fourni d'id utilisateur et de mot de passe de se connecter. AMQ5541: L'échec de la vérification de l'authentification a été provoqué par la configuration CONNAUTH CHCKCLNT(REQDADM) du gestionnaire de files d'attente. EXPLICATION : L'ID utilisateur 'lmd' et son mot de passe ont été vérifiés car l'id utilisateur est privilégié et la configuration de l'autorité de connexion du gestionnaire de files d'attente (CONNAUTH) fait référence à un objet d'informations d'authentification (AUTHINFO) nommé 'SYSTEM.DEFAULT.AUTHINFO.IDPWOS' avec CHCKCLNT(REQDADM). 17 Informations d authentification en V8 18 Client MQ et sécurité : de la V7 à la V8 9

Accès au QM en version 8.0 Solution 1 : ALTER QMGR CONNAUTH( ) Retour au fonctionnement MQ 7.1/7.5 Solution 2 : ALTER AUTHINFO(SYSTEM.DEFAULT.AUTHINFO.IDPWOS) + AUTHTYPE(IDPWOS) CHCKCLNT(OPTIONAL) REFRESH SECURITY TYPE(CONNAUTH) Retour au fonctionnement MQ 7.1/7.5 Permet de spécifier un user / pass quand nécessaire 19 Accès au QM en version 8.0 Solution 2 complète : SET CHLAUTH('ADMIN') TYPE(BLOCKUSER) USERLIST('toto') WARN(NO) + ACTION(ADD) SET CHLAUTH('ADMIN') TYPE(USERMAP) CLNTUSER('lmd') + USERSRC(CHANNEL) ACTION(ADD) ALTER AUTHINFO(SYSTEM.DEFAULT.AUTHINFO.IDPWOS) + AUTHTYPE(IDPWOS) CHCKCLNT(OPTIONAL) REFRESH SECURITY TYPE(CONNAUTH) 20 Client MQ et sécurité : de la V7 à la V8 10

Conclusion Nouveaux comportements de la sécurité MQ A partir de MQ 7.1 Si les QM sont créés / recréés Opportunité de mettre en place une vrai sécurité des canaux client : CHLAUTH AUTHINFO en 8.0 Le SSL reste le moyen le plus simple et le plus fiable pour protéger les canaux 21 Page blanche intentionnellement 22 Client MQ et sécurité : de la V7 à la V8 11

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back