本文详细探讨了在使用 `pymqi` 库与 IBM MQ 交互时遇到的 `MQRC_NOT_AUTHORIZED` (2035) 错误,特别是当尝试执行管理操作(如通过 `PCFExecute`)时。文章提供了一个实际的代码示例来重现问题,并给出了通过 `SET AUTHREC` 命令配置 IBM MQ 用户权限的解决方案。同时,强调了在生产环境中遵循最小权限原则的重要性,并提供了具体的安全最佳实践建议。
1. 理解 MQRC_NOT_AUTHORIZED (2035) 错误
在使用 pymqi 库与 IBM MQ 进行交互时,MQRC_NOT_AUTHORIZED (Reason 2035) 错误是一个常见的权限问题。它表明当前连接的用户(或应用程序所使用的凭据)没有执行特定操作所需的权限。这个错误通常发生在以下场景:
尝试连接到队列管理器。尝试打开队列、主题或进程定义。尝试执行管理命令,例如通过 PCFExecute 对象查询或修改队列管理器配置。尝试将消息放入队列或从队列中获取消息。
在本教程的示例中,错误具体发生在尝试创建 pymqi.PCFExecute 对象时。PCFExecute 用于执行可编程命令格式 (PCF) 命令,这些命令通常涉及队列管理器的管理和配置,因此需要比普通消息操作更广泛的权限。
2. 重现问题:pymqi 代码中的授权错误
以下 Python 代码片段演示了如何使用 pymqi 连接到 IBM MQ 队列管理器,并尝试创建 PCFExecute 对象。当用户 app 缺少必要的权限时,pymqi.PCFExecute(qmgr) 这一行将抛出 MQRC_NOT_AUTHORIZED 错误。
import pymqi# 连接参数配置queue_manager = 'QM1' # 队列管理器名称channel = 'DEV.APP.SVRCONN' # 服务器连接通道名称host = '127.0.0.1' # IBM MQ 服务器IP地址port = '1414' # IBM MQ 监听端口queue_name = 'DEV.QUEUE.1' # 目标队列名称message = 'Hello from Python!' # 待发送消息conn_info = f'{host}({port})' # 连接信息字符串user = 'app' # 应用程序用户,该用户将遇到权限问题password = 'qwerty' # 用户密码try: # 1. 建立与队列管理器的连接 qmgr = pymqi.connect(queue_manager, channel, conn_info, user, password) print(f"成功连接到队列管理器 '{queue_manager}'.") # 2. 尝试创建 PCFExecute 对象 # PCFExecute 用于执行管理命令,这通常需要更高的权限。 # 如果用户 'app' 缺乏执行此类操作的权限,此处将抛出 MQRC_NOT_AUTHORIZED 错误。 pcf = pymqi.PCFExecute(qmgr) print("PCFExecute 对象创建成功.") # 3. 打开队列并发送消息 queue = pymqi.Queue(qmgr, queue_name) queue.put(message) print(f"消息 '{message}' 已成功发送到队列 '{queue_name}'.") queue.close()except pymqi.MQMIError as e: # 捕获 pymqi 特定的 MQ 错误 print(f'IBM MQ 错误: {e}') if e.reason == 2035: print("错误原因:MQRC_NOT_AUTHORIZED (2035)。当前用户没有执行所需操作的权限。") print("这通常意味着用户缺少队列管理器、队列或主题等对象的访问权限,特别是执行管理操作时。") elif e.reason == 2009: print("错误原因:MQRC_CONNECTION_BROKEN (2009)。与队列管理器的连接可能已断开。") else: print(f"遇到其他 MQ 错误,错误码:{e.reason}")except Exception as e: # 捕获其他非 MQ 错误 print(f'发生了一个意外错误: {e}')finally: # 确保在任何情况下都断开与队列管理器的连接 if 'qmgr' in locals() and qmgr.is_connected: qmgr.disconnect() print("已断开与队列管理器的连接.")
运行上述代码时,如果用户 app 没有足够的权限,程序将在尝试创建 PCFExecute 对象时输出类似以下内容的错误:
IBM MQ 错误: MQI Error. Comp: 2, Reason 2035: FAILED: MQRC_NOT_AUTHORIZED错误原因:MQRC_NOT_AUTHORIZED (2035)。当前用户没有执行所需操作的权限。这通常意味着用户缺少队列管理器、队列或主题等对象的访问权限,特别是执行管理操作时。已断开与队列管理器的连接.
3. 解决方案:授予 IBM MQ 用户权限
解决 MQRC_NOT_AUTHORIZED 错误的核心是为执行操作的用户授予正确的 IBM MQ 权限。这通常通过 IBM MQ 的 runmqsc 命令行工具来完成。
以下是为用户 app 授予必要权限的 runmqsc 命令序列。这些命令将允许用户 app 对队列管理器、所有队列和所有主题执行所有操作。
# 1. 连接到目标队列管理器# 在命令行中执行:runmqsc QM1# 假设你的队列管理器名称是 QM1# 2. 授予用户 'app' 队列管理器级别的所有权限# 这对于执行 PCF 命令或任何队列管理器级别的管理操作至关重要。SET AUTHREC OBJTYPE(QMGR) PRINCIPAL('app') AUTHADD(ALL)# 3. 授予用户 'app' 对所有队列的所有权限# PROFILE('**') 表示匹配所有队列名称。SET AUTHREC OBJTYPE(QUEUE) PROFILE('**') PRINCIPAL('app') AUTHADD(ALL)# 4. 授予用户 'app' 对所有主题的所有权限# PROFILE('**') 表示匹配所有主题。SET AUTHREC OBJTYPE(TOPIC) PROFILE('**') PRINCIPAL('app') AUTHADD(ALL)# 5. 刷新安全缓存以使更改生效# 这将强制队列管理器重新加载安全配置。REFRESH SECURITY TYPE(AUTHREC)# 6. 退出 runmqscEND
命令解释:
SET AUTHREC: 用于设置或修改授权记录。OBJTYPE: 指定要授予权限的对象类型,例如 QMGR (队列管理器)、QUEUE (队列)、TOPIC (主题) 等。PRINCIPAL: 指定要授予权限的用户或组的名称。在 Windows 上,这通常是用户账户名;在 Linux/Unix 上,这通常是用户 ID。AUTHADD(ALL): 授予指定对象的所有可用权限。这包括连接、管理、PUT、GET 等所有操作。PROFILE(‘**’): 当 OBJTYPE 是 QUEUE 或 TOPIC 时,PROFILE 指定了权限应用的对象的名称模式。** 是一个通配符,表示所有队列或所有主题。REFRESH SECURITY TYPE(AUTHREC): 刷新队列管理器的授权缓存,确保新的权限设置立即生效。
执行这些命令后,重新运行 Python 代码,MQRC_NOT_AUTHORIZED 错误应该会消失,并且 PCFExecute 对象能够成功创建。
4. 安全最佳实践与生产环境注意事项
虽然 AUTHADD(ALL) 可以快速解决权限问题,但在生产环境中,强烈不推荐为应用程序用户授予 ALL 权限,特别是对 QMGR、QUEUE 或 TOPIC 的通配符权限。这违反了最小权限原则,即只授予完成特定任务所需的最低权限。
在生产环境中,应遵循以下安全最佳实践:
最小权限原则 (Principle of Least Privilege):
精确指定权限: 不要使用 AUTHADD(ALL)。根据应用程序的实际需求,精确授予如 AUTHADD(CONNECT, GET, PUT, BROWSE, DSP) 等权限。精确指定对象: 避免使用 PROFILE(‘**’)。尽可能指定具体的队列名称、主题字符串或队列管理器名称。如果必须使用通配符,请限制其范围,例如 PROFILE(‘APP.QUEUE.*’)。区分管理权限与应用权限: 用于执行 PCFExecute 等管理操作的用户应与用于普通消息收发的用户分开。管理用户应拥有更严格的访问控制和监控。
使用组 (Groups) 进行权限管理:
将用户添加到操作系统组(例如 mqm 组或自定义组),然后为这些组而不是单个用户授予权限。这使得权限管理更加集中和高效。例如:SET AUTHREC OBJTYPE(QUEUE) PROFILE(‘DEV.QUEUE.1’) GROUP(‘mqapp_group’) AUTHADD(PUT, GET)
细化 PCFExecute 所需权限:
如果 PCFExecute 仅用于查询队列状态(例如 DSP QSTATUS),则用户可能只需要 DSP (Display) 权限。如果用于修改对象属性(例如 ALTER QL),则需要 CHG (Change) 权限。仔细查阅 IBM MQ 文档,了解特定 PCF 命令所需的最低权限。
通道认证记录 (CHLAUTH):
除了对象权限,还应配置通道认证记录 (CHLAUTH) 来限制哪些 IP 地址、用户或应用程序可以通过特定通道连接到队列管理器。例如,可以配置一个 CHLAUTH 规则,只允许特定 IP 范围的用户 app 通过 DEV.APP.SVRCONN 通道连接。
定期审计和审查:
定期审查 IBM MQ 的权限配置,确保所有权限都是必需且合理的。监控队列管理器的错误日志(AMQERR01.LOG),查找权限相关的错误,以便及时发现和纠正问题。
总结
MQRC_NOT_AUTHORIZED (2035) 错误是 IBM MQ 中常见的权限配置问题。通过 SET AUTHREC 命令为用户授予正确的权限是解决此问题的关键。然而,在实际应用中,尤其是在生产环境中,务必遵循最小权限原则和安全最佳实践,避免过度授权,以确保 IBM MQ 系统的安全性和稳定性。
以上就是IBM MQ pymqi 授权错误 (2035) 解决方案与权限管理最佳实践的详细内容,更多请关注创想鸟其它相关文章!
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。
如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 chuangxiangniao@163.com 举报,一经查实,本站将立刻删除。
发布者:程序猿,转转请注明出处:https://www.chuangxiangniao.com/p/1382185.html
微信扫一扫 
支付宝扫一扫 
