IBM MQ pymqi 授权错误 (2035) 解决方案与权限管理最佳实践

本文详细探讨了在使用 `pymqi` 库与 IBM MQ 交互时遇到的 `MQRC_NOT_AUTHORIZED` (2035) 错误，特别是当尝试执行管理操作（如通过 `PCFExecute`）时。文章提供了一个实际的代码示例来重现问题，并给出了通过 `SET AUTHREC` 命令配置 IBM MQ 用户权限的解决方案。同时，强调了在生产环境中遵循最小权限原则的重要性，并提供了具体的安全最佳实践建议。

1. 理解 MQRC_NOT_AUTHORIZED (2035) 错误

在使用 pymqi 库与 IBM MQ 进行交互时，MQRC_NOT_AUTHORIZED (Reason 2035) 错误是一个常见的权限问题。它表明当前连接的用户（或应用程序所使用的凭据）没有执行特定操作所需的权限。这个错误通常发生在以下场景：

• 尝试连接到队列管理器。
• 尝试打开队列、主题或进程定义。
• 尝试执行管理命令，例如通过 PCFExecute 对象查询或修改队列管理器配置。
• 尝试将消息放入队列或从队列中获取消息。

在本教程的示例中，错误具体发生在尝试创建 pymqi.PCFExecute 对象时。PCFExecute 用于执行可编程命令格式 (PCF) 命令，这些命令通常涉及队列管理器的管理和配置，因此需要比普通消息操作更广泛的权限。

2. 重现问题：pymqi 代码中的授权错误

以下 Python 代码片段演示了如何使用 pymqi 连接到 IBM MQ 队列管理器，并尝试创建 PCFExecute 对象。当用户 app 缺少必要的权限时，pymqi.PCFExecute(qmgr) 这一行将抛出 MQRC_NOT_AUTHORIZED 错误。

import pymqi

# 连接参数配置
queue_manager = 'QM1'           # 队列管理器名称
channel = 'DEV.APP.SVRCONN'     # 服务器连接通道名称
host = '127.0.0.1'              # IBM MQ 服务器IP地址
port = '1414'                   # IBM MQ 监听端口
queue_name = 'DEV.QUEUE.1'      # 目标队列名称
message = 'Hello from Python!'  # 待发送消息
conn_info = f'{host}({port})'   # 连接信息字符串
user = 'app'                    # 应用程序用户，该用户将遇到权限问题
password = 'qwerty'             # 用户密码

try:
    # 1. 建立与队列管理器的连接
    qmgr = pymqi.connect(queue_manager, channel, conn_info, user, password)
    print(f"成功连接到队列管理器 '{queue_manager}'.")

    # 2. 尝试创建 PCFExecute 对象
    # PCFExecute 用于执行管理命令，这通常需要更高的权限。
    # 如果用户 'app' 缺乏执行此类操作的权限，此处将抛出 MQRC_NOT_AUTHORIZED 错误。
    pcf = pymqi.PCFExecute(qmgr)
    print("PCFExecute 对象创建成功.")

    # 3. 打开队列并发送消息
    queue = pymqi.Queue(qmgr, queue_name)
    queue.put(message)
    print(f"消息 '{message}' 已成功发送到队列 '{queue_name}'.")
    queue.close()

except pymqi.MQMIError as e:
    # 捕获 pymqi 特定的 MQ 错误
    print(f'IBM MQ 错误: {e}')
    if e.reason == 2035:
        print("错误原因：MQRC_NOT_AUTHORIZED (2035)。当前用户没有执行所需操作的权限。")
        print("这通常意味着用户缺少队列管理器、队列或主题等对象的访问权限，特别是执行管理操作时。")
    elif e.reason == 2009:
        print("错误原因：MQRC_CONNECTION_BROKEN (2009)。与队列管理器的连接可能已断开。")
    else:
        print(f"遇到其他 MQ 错误，错误码：{e.reason}")
except Exception as e:
    # 捕获其他非 MQ 错误
    print(f'发生了一个意外错误: {e}')
finally:
    # 确保在任何情况下都断开与队列管理器的连接
    if 'qmgr' in locals() and qmgr.is_connected:
        qmgr.disconnect()
        print("已断开与队列管理器的连接.")

运行上述代码时，如果用户 app 没有足够的权限，程序将在尝试创建 PCFExecute 对象时输出类似以下内容的错误：

IBM MQ 错误: MQI Error. Comp: 2, Reason 2035: FAILED: MQRC_NOT_AUTHORIZED
错误原因：MQRC_NOT_AUTHORIZED (2035)。当前用户没有执行所需操作的权限。
这通常意味着用户缺少队列管理器、队列或主题等对象的访问权限，特别是执行管理操作时。
已断开与队列管理器的连接.

3. 解决方案：授予 IBM MQ 用户权限

解决 MQRC_NOT_AUTHORIZED 错误的核心是为执行操作的用户授予正确的 IBM MQ 权限。这通常通过 IBM MQ 的 runmqsc 命令行工具来完成。

以下是为用户 app 授予必要权限的 runmqsc 命令序列。这些命令将允许用户 app 对队列管理器、所有队列和所有主题执行所有操作。

# 1. 连接到目标队列管理器
# 在命令行中执行：runmqsc QM1
# 假设你的队列管理器名称是 QM1

# 2. 授予用户 'app' 队列管理器级别的所有权限
# 这对于执行 PCF 命令或任何队列管理器级别的管理操作至关重要。
SET AUTHREC OBJTYPE(QMGR) PRINCIPAL('app') AUTHADD(ALL)

# 3. 授予用户 'app' 对所有队列的所有权限
# PROFILE('**') 表示匹配所有队列名称。
SET AUTHREC OBJTYPE(QUEUE) PROFILE('**') PRINCIPAL('app') AUTHADD(ALL)

# 4. 授予用户 'app' 对所有主题的所有权限
# PROFILE('**') 表示匹配所有主题。
SET AUTHREC OBJTYPE(TOPIC) PROFILE('**') PRINCIPAL('app') AUTHADD(ALL)

# 5. 刷新安全缓存以使更改生效
# 这将强制队列管理器重新加载安全配置。
REFRESH SECURITY TYPE(AUTHREC)

# 6. 退出 runmqsc
END

命令解释：

• SET AUTHREC: 用于设置或修改授权记录。
• OBJTYPE: 指定要授予权限的对象类型，例如 QMGR (队列管理器)、QUEUE (队列)、TOPIC (主题) 等。
• PRINCIPAL: 指定要授予权限的用户或组的名称。在 Windows 上，这通常是用户账户名；在 Linux/Unix 上，这通常是用户 ID。
• AUTHADD(ALL): 授予指定对象的所有可用权限。这包括连接、管理、PUT、GET 等所有操作。
• PROFILE('**'): 当 OBJTYPE 是 QUEUE 或 TOPIC 时，PROFILE 指定了权限应用的对象的名称模式。** 是一个通配符，表示所有队列或所有主题。
• REFRESH SECURITY TYPE(AUTHREC): 刷新队列管理器的授权缓存，确保新的权限设置立即生效。

执行这些命令后，重新运行 Python 代码，MQRC_NOT_AUTHORIZED 错误应该会消失，并且 PCFExecute 对象能够成功创建。

MusicLM

谷歌平台的AI作曲工具，用文字生成音乐

185

查看详情

4. 安全最佳实践与生产环境注意事项

虽然 AUTHADD(ALL) 可以快速解决权限问题，但在生产环境中，强烈不推荐为应用程序用户授予 ALL 权限，特别是对 QMGR、QUEUE 或 TOPIC 的通配符权限。这违反了最小权限原则，即只授予完成特定任务所需的最低权限。

在生产环境中，应遵循以下安全最佳实践：

1. 最小权限原则 (Principle of Least Privilege)：

   • 精确指定权限： 不要使用 AUTHADD(ALL)。根据应用程序的实际需求，精确授予如 AUTHADD(CONNECT, GET, PUT, BROWSE, DSP) 等权限。
   • 精确指定对象： 避免使用 PROFILE('**')。尽可能指定具体的队列名称、主题字符串或队列管理器名称。如果必须使用通配符，请限制其范围，例如 PROFILE('APP.QUEUE.*')。
   • 区分管理权限与应用权限： 用于执行 PCFExecute 等管理操作的用户应与用于普通消息收发的用户分开。管理用户应拥有更严格的访问控制和监控。

2. 使用组 (Groups) 进行权限管理：

   • 将用户添加到操作系统组（例如 mqm 组或自定义组），然后为这些组而不是单个用户授予权限。这使得权限管理更加集中和高效。
   • 例如：SET AUTHREC OBJTYPE(QUEUE) PROFILE('DEV.QUEUE.1') GROUP('mqapp_group') AUTHADD(PUT, GET)

3. 细化 PCFExecute 所需权限：

   • 如果 PCFExecute 仅用于查询队列状态（例如 DSP QSTATUS），则用户可能只需要 DSP (Display) 权限。
   • 如果用于修改对象属性（例如 ALTER QL），则需要 CHG (Change) 权限。
   • 仔细查阅 IBM MQ 文档，了解特定 PCF 命令所需的最低权限。

4. 通道认证记录 (CHLAUTH)：

   • 除了对象权限，还应配置通道认证记录 (CHLAUTH) 来限制哪些 IP 地址、用户或应用程序可以通过特定通道连接到队列管理器。
   • 例如，可以配置一个 CHLAUTH 规则，只允许特定 IP 范围的用户 app 通过 DEV.APP.SVRCONN 通道连接。

5. 定期审计和审查：

   • 定期审查 IBM MQ 的权限配置，确保所有权限都是必需且合理的。
   • 监控队列管理器的错误日志（AMQERR01.LOG），查找权限相关的错误，以便及时发现和纠正问题。

总结

MQRC_NOT_AUTHORIZED (2035) 错误是 IBM MQ 中常见的权限配置问题。通过 SET AUTHREC 命令为用户授予正确的权限是解决此问题的关键。然而，在实际应用中，尤其是在生产环境中，务必遵循最小权限原则和安全最佳实践，避免过度授权，以确保 IBM MQ 系统的安全性和稳定性。

以上就是IBM MQ pymqi 授权错误 (2035) 解决方案与权限管理最佳实践的详细内容，更多请关注php中文网其它相关文章！