Sicherheitsanforderungen für Windows-Plattformen

In der folgenden Tabelle finden Sie eine Zusammenfassung der Sicherheitsanforderungen für die Verwaltungstasks von WebSphere Event Broker. Darin wird gezeigt, welche Gruppenzugehörigkeit bei Verwendung einer lokalen Sicherheitsdomäne erforderlich ist, die auf Ihrem lokalen System SALONE definiert wurde, oder bei Verwendung einer primären Domäne mit der Bezeichnung PRIMARY oder einer vertrauenswürdigen Domäne mit der Bezeichnung TRUSTED. Bei den Inhalten in dieser Tabelle wird davon ausgegangen, dass der Konfigurationsmanager und der Benutzernamensserver mit der gleichen Sicherheitsdomäne erstellt wurden.

Benutzeraktion Lokale Domäne (SALONE) Primäre Domäne (PRIMARY) / Windows-Einzeldomäne (PRIMARY) Vertrauenswürdige Domäne (TRUSTED) / Übergeordnete/Untergeordnete Windows-Domäne in Domänenstruktur (TRUSTED)
Erstellen eines Brokers, Konfigurationsmanagers, Benutzernamensserver oder einer Datenbank (mitmqsicreatedb)
  • Muss in SALONE definierte Benutzer-ID sein
  • Mitglied von Administratoren
  • Muss in PRIMARY definierte Benutzer-ID sein
  • Mitglied von SALONE\Administratoren
  • Muss in TRUSTED definierte Benutzer-ID sein
  • Mitglied von SALONE\Administratoren
Ändern eines Brokers, Konfigurationsmanagers, Benutzernamensserver, DatabaseInstanceMgr
  • Muss in SALONE definierte Benutzer-ID sein
  • Mitglied von Administratoren
  • Muss in PRIMARY definierte Benutzer-ID sein
  • Mitglied von SALONE\Administratoren
  • Muss in TRUSTED definierte Benutzer-ID sein
  • Mitglied von SALONE\Administratoren
Löschen eines Brokers, Konfigurationsmanagers, Benutzernamensserver oder einer Datenbank (mitmqsideletedb)
  • Mitglied von Administratoren
  • Mitglied von SALONE\Administratoren
  • Mitglied von SALONE\Administratoren
Starten eines Brokers, Konfigurationsmanagers, Benutzernamensserver oder DatabaseInstanceMgr
  • Mitglied von Administratoren
  • Mitglied von SALONE\Administratoren
  • Mitglied von SALONE\Administratoren
Auflisten eines Brokers, Konfigurationsmanagers, Benutzernamensserver oder DatabaseInstanceMgr
  • Muss in SALONE definierte Benutzer-ID sein
  • Benutzer-ID muss über die Berechtigung zum Abfragen der Werte unter dem Eintrag WebSphereMQIntegrator in der Registry verfügen.
  • Mitglied von mqbrkrs für Ausgabe des folgenden Befehls: mqsilist <Brokername><Name der Ausführungsgruppe>.
  • Muss in PRIMARY definierte Benutzer-ID sein
  • Benutzer-ID muss über die Berechtigung zum Abfragen der Werte unter dem Eintrag WebSphereMQIntegrator in der Registry verfügen.
  • Mitglied von PRIMARY\Domain mqbrkrs für Ausgabe des folgenden Befehls: mqsilist <Brokername><Namen der Ausführungsgruppe>.
  • Muss in TRUSTED definierte Benutzer-ID sein
  • Benutzer-ID muss über die Berechtigung zum Abfragen der Werte unter dem Eintrag WebSphereMQIntegrator in der Registry verfügen.
  • Mitglied von TRUSTED\Domain mqbrkrs für Ausgabe des folgenden Befehls: mqsilist <Brokername><Namen der Ausführungsgruppe>.
Trace-Informationen ändern, anzeigen oder abrufen
  • Muss in SALONE definierte Benutzer-ID sein
  • Mitglied von mqbrkrs
  • Muss in PRIMARY definierte Benutzer-ID sein
  • Mitglied von PRIMARY\Domain mqbrkrs
  • Muss in TRUSTED definierte Benutzer-ID sein
  • Mitglied von TRUSTED\Domain mqbrkrs
Benutzernamensserver ausführen (Servicebenutzer-ID)
  • Muss in SALONE definierte Benutzer-ID sein
  • Mitglied von mqbrkrs
  • Muss in PRIMARY definierte Benutzer-ID sein
  • Mitglied von PRIMARY\Domain mqbrkrs
  • Muss in TRUSTED definierte Benutzer-ID sein
  • Mitglied von TRUSTED\Domain mqbrkrs
DatabaseInstanceMgr ausführen (Servicebenutzer-ID)
  • Muss in SALONE definierte Benutzer-ID sein
  • Mitglied von mqbrkrs
  • Muss in PRIMARY definierte Benutzer-ID sein
  • Muss zur Gruppe PRIMARY\Domain mqbrkrs gehören
  • Muss in TRUSTED definierte Benutzer-ID sein
  • Muss zur Gruppe TRUSTED\Domain mqbrkrs gehören
Konfigurationsmanager ausführen (Servicebenutzer-ID)
  • Muss in SALONE definierte Benutzer-ID sein
  • Mitglied von mqbrkrs
  • Mitglied von mqm
  • Mitglied von Administratoren
  • Muss in PRIMARY definierte Benutzer-ID sein
  • Mitglied von PRIMARY\Domain mqbrkrs
  • Mitglied von SALONE\mqm (siehe Hinweis 1)
  • Mitglied von SALONE/Administratoren
  • Muss in TRUSTED definierte Benutzer-ID sein
  • Mitglied von TRUSTED\Domain mqbrkrs
  • Mitglied von SALONE\mqm (siehe Hinweis 2)
  • Mitglied von SALONE/Administratoren
Broker ausführen (WebSphere MQ-Direktaufruf deaktiviert) (Servicebenutzer-ID)
  • Muss in SALONE definierte Benutzer-ID sein
  • Mitglied von mqbrkrs
  • Muss in PRIMARY definierte Benutzer-ID sein
  • Mitglied von PRIMARY\Domain mqbrkrs
  • Muss in TRUSTED definierte Benutzer-ID sein
  • Mitglied von TRUSTED\Domain mqbrkrs
Broker ausführen (WebSphere MQ-Direktaufruf aktiviert) (Servicebenutzer-ID)
  • Muss in SALONE definierte Benutzer-ID sein
  • Mitglied von mqbrkrs
  • Mitglied von mqm
  • Muss in PRIMARY definierte Benutzer-ID sein
  • Mitglied von PRIMARY\Domain mqbrkrs
  • Mitglied von SALONE\mqm
  • Muss in TRUSTED definierte Benutzer-ID sein
  • Mitglied von TRUSTED\Domain mqbrkrs
  • Mitglied von SALONE\mqm
Löschen, Verknüpfen oder Auflisten von WebSphere MQ Publish/Subscribe-Brokern
  • Muss in SALONE definierte Benutzer-ID sein
  • Mitglied von mqbrkrs
  • Muss in PRIMARY definierte Benutzer-ID sein
  • Mitglied von PRIMARY\Domain mqbrkrs
  • Muss in TRUSTED definierte Benutzer-ID sein
  • Mitglied von TRUSTED\Domain mqbrkrs
Ausführen eines Message Brokers Toolkits (siehe Hinweis 3)
  • Muss in SALONE definierte Benutzer-ID sein (siehe Hinweis 4). Beispiel: SALONE\User1 ist gültig, PRIMARY\User2 und TRUSTED\User3 sind ungültig.
  • Sowohl bei aktivierter als auch inaktivierter Domänenüberprüfung müssen Benutzer-IDs Mitglieder von beliebigen, auf SALONE erstellten lokalen ACL-Gruppen sein, wenn Message Brokers Toolkit verwendet wird.
  • Sowohl bei aktivierter als auch inaktivierter Domänenüberprüfung müssen Benutzer-IDs Mitglieder von beliebigen, auf SALONE erstellten lokalen ACL-Gruppen sein, wenn Message Brokers Toolkit verwendet wird.
Publish/Subscribe-Anwendungen ausführen
  • Muss in SALONE definierte Benutzer-ID sein. Beispiel: SALONE\User1 ist gültig, PRIMARY\User2 und TRUSTED\User3 sind ungültig.
  • Muss in PRIMARY definierte Benutzer-ID sein. Beispiel: PRIMARY\User2 ist gültig, SALONE\User1 und TRUSTED\User3 sind ungültig.
  • Muss in TRUSTED definierte Benutzer-ID sein. Beispiel: TRUSTED\User3 ist gültig, SALONE\User1 und PRIMARY\User2 sind ungültig.
Hinweise:
  1. Bei Ausführung in einer primären Domäne können Sie auch folgende Aktionen ausführen:
    • Definieren Sie die Benutzer-ID in der Domäne PRIMARY.
    • Fügen Sie diese ID zu der Gruppe PRIMARY\Domain mqm hinzu.
    • Fügen Sie die Gruppe PRIMARY\Domain mqm zu der Gruppe SALONE\mqm hinzu.
  2. Bei Ausführung in einer vertrauenswürdigen Domäne können Sie auch folgende Aktionen ausführen:
    • Definieren Sie die Benutzer-ID in der Domäne TRUSTED.
    • Fügen Sie diese ID zu der Gruppe TRUSTED\Domain mqm hinzu.
    • Fügen Sie die Gruppe TRUSTED\Domain mqm zu der Gruppe SALONE\mqm hinzu.
  3. Für alle Benutzer von Message Brokers Toolkit ist ein Lesezugriff auf das WebSphere MQ Java-Unterverzeichnis \lib des Ausgangsverzeichnisses WebSphere MQ erforderlich (der Standardpfad lautet X:\Programmdateien \WebSphere MQ, dabei ist X das Laufwerk, auf dem sich das Betriebssystem befindet). Dieser Zugriff ist durch WebSphere MQ auf Benutzer beschränkt, die zur lokalen Gruppe mqm gehören. Diese Einschränkung wird von WebSphere Event Broker außer Kraft gesetzt; alle Benutzer erhalten Lesezugriff auf dieses Unterverzeichnis.
  4. Wenn in der vom Konfigurationsmanager verwendeten Domäne eine gültige Benutzer-ID (z. B. PRIMARY\User4) definiert ist, kann ein in einer anderen Domäne definierter Benutzer (z. B. DOMAIN2\User4) mit den Berechtigungen von Benutzer PRIMARY\User4 auf Message Brokers Toolkit zugreifen.
  5. Stellen Sie sicher, dass die Servicebenutzer-ID über die erforderlichen Zugriffsberechtigungen für die relevanten Verzeichnisse in der Produktverzeichnisstruktur verfügt (z. B. Schreibzugriff auf das Protokollverzeichnis). Wenn für eine beliebige Komponente ein anderer Arbeitspfad als der Standardarbeitspfad festgelegt wurde, müssen Sie sicherstellen, dass die Servicebenutzer-ID über die entsprechenden Zugriffsberechtigungen für diesen Standort verfügt.
  6. Wenn Sie einen Konfigurationsmanager mit einer bestimmten Benutzer-ID und einen Broker mit einer anderen Benutzer-ID auf einem anderen Computer ausführen, wird möglicherweise eine Fehlernachricht angezeigt, wenn Sie versuchen, Nachrichtenflüsse im Broker einzusetzen. Dies können Sie wie folgt vermeiden:
    • Stellen Sie sicher, dass die Benutzer-ID des Brokers ein Mitglied der Gruppen mqm und mqbrkrs ist.
    • Definieren Sie die Benutzer-ID des Brokers auf dem Computer, auf dem der Konfigurationsmanager aktiv ist.
    • Definieren Sie die Benutzer-ID des Konfigurationsmanagers auf dem Computer, auf dem der Broker aktiv ist.
    • Stellen Sie sicher, dass alle IDs in Kleinbuchstaben geschrieben werden, damit sie zwischen den Computern kompatibel sind.

Geänderte Brokersicherheit für Windows 2000 und Windows XP

Die Service-ID muss zum Zugriff auf die Registrierungsschlüssel des Brokers berechtigt sein, damit sie auf die Informationen des Brokers zugreifen kann. Stellen Sie für Windows 2000 und Windows XP wie folgt sicher, dass die Service-ID auf die Registrierungsschlüssel zugreifen kann:

Zugehörige Konzepte
Sicherheit für Laufzeitressourcen
Zugehörige Tasks
Sicherheit für Brokerdomäne erstellen
Themenbasierte Sicherheit aktivieren
Zugehörige Verweise
Befehl mqsicreateaclentry
Befehl 'mqsideleteaclentry'
Befehl 'mqsilistaclentry'
Bemerkungen | Marken | Downloads | Bibliothek | Unterstützung | Rückmeldung
Copyright IBM Corporation 1999, 2006 Letzte Aktualisierung: 18.05.2006
ap08683_