Fermer

août 8, 2019

Comportement des règles ChlauthEarlyAdopt et AdoptContext dans MQ v9.1 +6 minutes de lecture

Graphique de sécurité intelligente - Blogs insuffisants


8 août 2019.

En raison d'une vulnérabilité de sécurité, IBM a modifié l'ordre des opérations lors de l'authentification des utilisateurs dans la version 9.1. Ceci est important si vous configurez votre sécurité sur une version antérieure, puis migrez vers la v9.1. Vos règles de sécurité risquent de ne plus fonctionner comme prévu. Dans cet article, nous parlerons du paramètre «adoption anticipée du canal» et de la façon dont il modifie le mécanisme d'authentification de MQ dans la version 9.1.

Ordre actuel des opérations lorsque MQ authentifie une connexion client

L'image suivante montre un très bon niveau haut vue de niveau de ce que fait MQ lorsqu'un client tente d'établir une connexion.

Deux paramètres affectent l'ordre des opérations et les utilisateurs auxquels MQ les appliquera: ChlauthEarlyAdopt et AdoptContext . J'ai longuement parlé de AdoptContext dans mon précédent post. Le paramètre ChlauthEarlyAdopt signifie “s'il faut ou non adopter les enregistrements d'authentification de canal plus tôt”, c'est-à-dire avant d'adopter le contexte de l'utilisateur MQCSP.

Prenons un exemple pour illustrer ce comportement. Supposons qu’une application a été lancée sous Windows sous l’identifiant d’utilisateur: WindowsServiceAccount et que l’application est passée dans le MQCSP: app345 / mot de passe. Supposons en outre que votre gestionnaire de files d'attente tourne sous RHEL version 7.

Avant la v9.1

ChlauthEarlyAdopt = N est le paramètre par défaut. Cela signifie “n'appliquez pas de règles d'authentification de canal avant d'adopter le contexte utilisateur MQCSP".

Si votre gestionnaire de files d'attente est configuré avec les éléments suivants:

ChlauthEarlyAdopt = N
AdoptContext = N

MQ effectuera ensuite les opérations suivantes: l'ordre suivant:

  1. Les règles d'authentification de canal seront appliquées à l'utilisateur app345
  2. Les règles d'authentification de connexion seront appliquées à app345 (envoyées à LDAP ou au SE pour vérification du mot de passe)
  3. Enfin, les règles d'autorisation seront vérifiées Utilisateur WindowsServi, car vous avez demandé au gestionnaire de files d'attente de ne pas adopter le contexte et seuls 12 premiers caractères sont significatifs pour RHEL.

Si vous définissez les paramètres suivants:

ChlauthEarlyAdopt = N
AdoptContext = Y

Ordre des opérations :

  1. Les règles d'authentification de canal seront appliquées à app345
  2. Les règles d'authentification de connexion seront ensuite appliquées à app345 (envoyées à LDAP ou au système d'exploitation pour la vérification du mot de passe)
  3. Les règles d'autorisation seront vérifiées sur app3 45

Les paramètres suivants:

ChlauthEarlyAdopt = Y
AdoptContext = N

Produira le résultat suivant:

  1. Les règles d'authentification de connexion seront appliquées à app345 (envoyé à LDAP ou à l'OS pour la vérification du mot de passe).
  2. Ensuite, les règles d'authentification de canal seront appliquées à app345.
  3. Enfin, les règles d'autorisation seront vérifiées sur le compte WindowsServi.

Dernière combinaison:

ChlauthEarlyAdopt = Y
AdoptContext = Y

Will Le résultat est le suivant:

  1. Les règles d'authentification de connexion seront appliquées à app345 (envoyées à LDAP ou au système d'exploitation pour la vérification du mot de passe).
  2. Les règles d'authentification de canal seront appliquées à app345
  3. Les règles d'autorisation seront vérifiées sur app345

. Examinons maintenant les mêmes paramètres dans MQ v9.1.

Après v9.1

ChlauthEarlyAdopt = Y est la valeur par défaut pour les nouveaux gestionnaires de file d'attente, les gestionnaires de file d'attente migrés. conserver leur réglage d'origine.

Examinez la première combinaison de paramètres:

ChlauthEarlyAdopt = N
AdoptContext = N

Résultats:

  1. Les règles d'authentification de canal seront appliquées à WindowsServi
  2. Les règles d'authentification de connexion seront appliquées à WindowsServi (envoyé à LDAP ou système d'exploitation pour la vérification du mot de passe)
  3. Les règles d'autorisation seront vérifiées sur WindowsServi

L'ordre des opérations ne change pas, mais les utilisateurs avec lesquels MQ travaille fonctionnent. Après la v9.1, si vous n'adoptez pas le contexte ni l'application anticipée des règles d'authentification de canal, MQ ne fonctionnera pas du tout avec la structure MQCSP.

Deuxième ensemble de paramètres:

ChlauthEarlyAdopt = N
AdoptContext = Y

Cela donnera:

  1. Les règles d'authentification de canal seront appliquées à WindowsServi
  2. Les règles d'authentification de connexion seront appliquées à WindowsServi (envoyées à LDAP ou au système d'exploitation pour la vérification du mot de passe)
  3. Règles d'autorisation sera vérifié sur app345

Vous demandez à MQ de ne pas adopter de règles d'authentification de canal à l'avance. Par conséquent, il ne les appliquera pas à l'ID utilisateur de la structure MQCSP, mais à l'ID utilisateur sous lequel l'application est exécutée. Vous demandez à MQ d’adopter le contexte de l’ID utilisateur de la structure MQCSP pour les contrôles d’autorisation; c'est pourquoi il l'utilisera pour les règles OAM.

Combinaison suivante de paramètres:

ChlauthEarlyAdopt = Y
AdoptContext = N

Produira l'ordre suivant:

  1. Les règles d'authentification de connexion seront appliquées. to app345 (envoyé à LDAP ou au système d'exploitation pour la vérification du mot de passe)
  2. Les règles d'authentification de canal seront appliquées à app345
  3. Les règles d'autorisation seront vérifiées sur WindowsServi

En raison de votre instruction d'adopter des règles d'authentification de canal à l'avance, MQ fonctionnera avec ID utilisateur dans la structure MQCSP pour l’authentification du canal et de la connexion. Étant donné que vous n'adoptez pas le contexte, les règles d'autorisation ne seront pas appliquées à l'ID utilisateur de la structure MQCSP.

Dernière combinaison de paramètres:

ChlauthEarlyAdopt = Y
AdoptContext = Y

Entraînera:

  1. . ] Les règles d’authentification de la connexion seront appliquées à app345 (envoyées à LDAP ou au système d’exploitation pour la vérification du mot de passe)
  2. Les règles d’authentification de canal seront appliquées à app345
  3. Les règles d’autorisation seront vérifiées sur app345

Si nous comparons avant et après -v9.1 l'ordre des opérations et les utilisateurs avec lesquels MQ travaille, nous pouvons clairement voir les différences entre certaines combinaisons de paramètres.

Faites attention à cela lorsque vous migrez vers MQ v9.1 et que vous vous amusez! 19659073]! Function (f, b, e, v, n, t, s) {si (f.fbq) renvoie; n = f.fbq = fonction () {n.callMethod?
n.callMethod.apply (n, arguments): n.queue.push (arguments)}; if (! f._fbq) f._fbq = n;
n.push = n; n.loaded =! 0; n.version = '2.0'; n.queue = []; t = b.createElement (e); t.async =! 0;
t.src = v; s = b.getElementsByTagName (e) [0]; s.parentNode.insertBefore (t, s)} (fenêtre,
document, 'script', '// connect.facebook.net/en_US/fbevents.js');

fbq ('init', '911436665572720');
fbq ('track', "PageView");



Source link