| Author |
Message
|
| vasilev |
 Posted: Fri Oct 31, 2014 2:24 am Post subject: MQ8 cannot connect to Qmanager |
 |
|
Acolyte
Joined: 31 Oct 2014
Posts: 71
Location: Germany
|
Hello guys,
i have installed one MQ server v8 with fix pack 1.
everything is ok, but i am trying to access it from my virtual machine.
The qmanager is on my computer and trying to access via mq explorer from virtual server - i am using oracle vm.
when i try to connect it says that:
the qmanager security mechanism has indicated that the user...
in the logs of the qmanager from my side i see this:
| Code: |
AMQ5541: Die fehlgeschlagene Prüfung der Authentifizierung wurde durch die
Konfiguration CONNAUTH CHCKCLNT(REQDADM) des Warteschlangenmanagers verursacht.
ERKLÄRUNG:
Die Benutzer-ID 'mqadmin' und das zugehörige Kennwort wurden geprüft, da die
Benutzer-ID berechtigt ist und sich die Konfiguration der
WS-Verbindungsberechtigung (CONNAUTH) auf ein Objekt mit
Authentifizierungsinformationen (AUTHINFO) mit der Bezeichnung
'SYSTEM.DEFAULT.AUTHINFO.IDPWOS' mit CHCKCLNT(REQDADM) bezieht.
Diese Nachricht wird mit einem vorherigen Fehler ausgegeben, um die Ursache für
die Prüfung der Benutzer-ID und des Kennworts zu erläutern.
AKTION:
Weitere Informationen finden Sie im vorherigen Fehler.
Stellen Sie sicher, dass ein Kennwort durch die Clientanwendung angegeben ist
und das Kennwort mit der Benutzer-ID übereinstimmt. Die
Authentifizierungskonfiguration der Warteschlangenmanagerverbindung legt das
Repository für die Benutzer-ID fest. Dies ist beispielsweise die lokale
Datenbank des Betriebssystembenutzers oder ein LDAP-Server.
Um die Prüfung der Authentifizierung zu vermeiden, können Sie eine nicht
berechtigte Benutzer-ID verwenden oder die Authentifizierungskonfiguration des
Warteschlangenmanagers ändern. Sie können das CHCKCLNT-Attribut im
CHLAUTH-Datensatz ändern, Sie sollten den nicht authentifizierten Fernzugriff
jedoch grundsätzlich nicht zulassen.
-------------------------------------------------------------------------------
31.10.2014 11:04:35 - Process(5648.14) User(mqadmin) Program(amqrmppa.exe)
Host(hostname) Installation(Installation1)
VRMF(8.0.0.1) QMgr(qmanager)
AMQ9557: Die Initialisierung der Benutzer-ID 'mqadmin' des
Warteschlangenmanagers ist fehlgeschlagen.
ERKLÄRUNG:
Die Initialisierung der Benutzer-ID 'mqadmin' ist mit Beendigungscode '2' und
Ursachencode '2035' fehlgeschlagen.
AKTION:
Korrigieren Sie den Fehler und versuchen Sie es erneut. |
so i found in IBM website that i have to configure the channel authority.
ok, but the problem is that the user is local not domain user and i cannot give it any authority to my computer.
can you tell me what i can do.
thanks. |
|
| Back to top |
|
 |
| exerk |
| Posted: Fri Oct 31, 2014 2:32 am Post subject: |
|
|
Jedi Council
Joined: 02 Nov 2006
Posts: 6339
|
There's a great article HERE which explains how to do it - glad to see that your solution is not to switch off CHLAUTH 
_________________
It's puzzling, I don't think I've ever seen anything quite like this before...and it's hard to soar like an eagle when you're surrounded by turkeys. |
|
| Back to top |
|
|
| tczielke |
| Posted: Fri Oct 31, 2014 4:04 am Post subject: |
|
|
Guardian
Joined: 08 Jul 2010
Posts: 941
Location: Illinois, USA
|
| My german isn't very good, but it looks like the user is hitting the default setting restrictions for CONNAUTH at v8 that would block a remote user in the MQ admin group from connecting to the queue manager. |
|
| Back to top |
|
|
| vasilev |
| Posted: Fri Oct 31, 2014 4:11 am Post subject: |
|
|
Acolyte
Joined: 31 Oct 2014
Posts: 71
Location: Germany
|
|
| Back to top |
|
|
| tczielke |
| Posted: Fri Oct 31, 2014 4:18 am Post subject: |
|
|
Guardian
Joined: 08 Jul 2010
Posts: 941
Location: Illinois, USA
|
| CONNAUTH is new at v8, and is different from CHLAUTH. CONNAUTH has a default setting of CHCKCLNT(REQADMIN) the will block any remote user that is an MQADMIN from connecting to the queue manager. |
|
| Back to top |
|
|
| tczielke |
| Posted: Fri Oct 31, 2014 4:20 am Post subject: |
|
|
Guardian
Joined: 08 Jul 2010
Posts: 941
Location: Illinois, USA
|
| I should say CONNAUTH CHCKCLNT(REQADMIN) will require any remote user that is an MQADMIN to provide a user id and password for authentication, I believe. |
|
| Back to top |
|
|
| mqjeff |
| Posted: Fri Oct 31, 2014 4:39 am Post subject: |
|
|
Grand Master
Joined: 25 Jun 2008
Posts: 17447
|
| tczielke wrote: |
| I should say CONNAUTH CHCKCLNT(REQADMIN) will require any remote user that is an MQADMIN to provide a user id and password for authentication, I believe. |
In fact, and this is a bit confusing, it works against the final resolved ID, not necessarily the one that is presented by the client.
Or at least, it seems like it does.
So, create a SVRCONN, set the MCAUSER on the channel to ('mqm'). Connect to that channel using Alice and Alice's password. I believe REQUIRED and REQADMIN will both disallow the connection. I can't state with any confidence what OPTIONAL will do - and I only have a medium-to-low confidence about what I've just said. It's based on what I've seen, not what I've rigorously tested. |
|
| Back to top |
|
|
|
|
