Windows 平台的安全性需求

下表总结了 WebSphere Event Broker 管理任务的安全性需求。它说明如果使用定义在本地系统 SALONE 上的本地安全性域、或称为 PRIMARY 的主域、或称为 TRUSTED 的可信域时需要的组成员资格。该表的内容假设您已使用相同的安全性域创建了配置管理器用户名称服务器

用户正在... 本地域(SALONE) 主域(PRIMARY)/Windows 单域(PRIMARY) 可信域(TRUSTED)/Windows 在域树中的父/子域(TRUSTED)
创建代理、配置管理器用户名称服务器或数据库(使用 mqsicreatedb
  • 必须是 SALONE 中定义的用户标识
  • Administrators 的成员
  • 必须是 PRIMARY 中定义的用户标识
  • SALONE\Administrators 的成员
  • 必须是 TRUSTED 中定义的用户标识
  • SALONE\Administrators 的成员
更改代理、配置管理器用户名称服务器DatabaseInstanceMgr
  • 必须是 SALONE 中定义的用户标识
  • Administrators 的成员
  • 必须是 PRIMARY 中定义的用户标识
  • SALONE\Administrators 的成员
  • 必须是 TRUSTED 中定义的用户标识
  • SALONE\Administrators 的成员
删除代理、配置管理器用户名称服务器或数据库(使用mqsideletedb
  • Administrators 的成员
  • SALONE\Administrators 的成员
  • SALONE\Administrators 的成员
启动代理、配置管理器用户名称服务器DatabaseInstanceMgr
  • Administrators 的成员
  • SALONE\Administrators 的成员
  • SALONE\Administrators 的成员
列出代理、配置管理器用户名称服务器DatabaseInstanceMgr
  • 必须是 SALONE 中定义的用户标识
  • 用户标识必须具有查询注册表中 WebSphereMQIntegrator 条目下注册表值的权限。
  • mqbrkrs 的成员(如果执行命令:mqsilist <broker name><execution group name>)。
  • 必须是 PRIMARY 中定义的用户标识
  • 用户标识必须具有查询注册表中 WebSphereMQIntegrator 条目下注册表值的权限。
  • PRIMARY\Domain mqbrkrs 的成员(如果执行命令:mqsilist <broker name><execution group name>)。
  • 必须是 TRUSTED 中定义的用户标识
  • 用户标识必须具有查询注册表中 WebSphereMQIntegrator 条目下注册表值的权限。
  • TRUSTED\Domain mqbrkrs 的成员(如果执行命令:mqsilist <broker name><execution group name>)。
更改、显示、检索跟踪信息
  • 必须是 SALONE 中定义的用户标识
  • mqbrkrs 的成员
  • 必须是 PRIMARY 中定义的用户标识
  • PRIMARY\Domain mqbrkrs 的成员
  • 必须是 TRUSTED 中定义的用户标识
  • TRUSTED\Domain mqbrkrs 的成员
运行用户名称服务器(服务用户标识)
  • 必须是 SALONE 中定义的用户标识
  • mqbrkrs 的成员
  • 必须是 PRIMARY 中定义的用户标识
  • PRIMARY\Domain mqbrkrs 的成员
  • 必须是 TRUSTED 中定义的用户标识
  • TRUSTED\Domain mqbrkrs 的成员
运行DatabaseInstanceMgr(服务用户标识)
  • 必须是 SALONE 中定义的用户标识
  • mqbrkrs 的成员
  • 必须是 PRIMARY 中定义的用户标识
  • PRIMARY\Domain mqbrkrs 的成员
  • 必须是 TRUSTED 中定义的用户标识
  • TRUSTED\Domain mqbrkrs 的成员
运行配置管理器(服务用户标识)
  • 必须是 SALONE 中定义的用户标识
  • mqbrkrs 的成员
  • mqm 的成员
  • Adminstrators 的成员
  • 必须是 PRIMARY 中定义的用户标识
  • PRIMARY\Domain mqbrkrs 的成员
  • SALONE\mqm 的成员(请参阅注 1)
  • SALONE/Adminstrators 的成员
  • 必须是 TRUSTED 中定义的用户标识
  • TRUSTED\Domain mqbrkrs 的成员
  • SALONE\mqm 的成员(请参阅注 2)
  • SALONE/Adminstrators 的成员
运行代理(WebSphere MQ 快速路径关)(服务用户标识)
  • 必须是 SALONE 中定义的用户标识
  • mqbrkrs 的成员
  • 必须是 PRIMARY 中定义的用户标识
  • PRIMARY\Domain mqbrkrs 的成员
  • 必须是 TRUSTED 中定义的用户标识
  • TRUSTED\Domain mqbrkrs 的成员
运行代理(WebSphere MQ 快速路径开)(服务用户标识)
  • 必须是 SALONE 中定义的用户标识
  • mqbrkrs 的成员
  • mqm 的成员
  • 必须是 PRIMARY 中定义的用户标识
  • PRIMARY\Domain mqbrkrs 的成员
  • SALONE\mqm 的成员
  • 必须是 TRUSTED 中定义的用户标识
  • TRUSTED\Domain mqbrkrs 的成员
  • SALONE\mqm 的成员
清除、连接、列出 WebSphere MQ Publish/Subscribe代理
  • 必须是 SALONE 中定义的用户标识
  • mqbrkrs 的成员
  • 必须是 PRIMARY 中定义的用户标识
  • PRIMARY\Domain mqbrkrs 的成员
  • 必须是 TRUSTED 中定义的用户标识
  • TRUSTED\Domain mqbrkrs 的成员
运行Message Brokers Toolkit(请参阅注 3)
  • 必须是 SALONE 中定义的用户标识(请参阅注 4)。例如:SALONE\User1 为有效定义,PRIMARY\User2 和 TRUSTED\User3 为无效定义。
  • 在同时启用域感知和禁用域感知的情况下,使用 Message Brokers Toolkit ACL 时,用户标识必须是 SALONE 上创建的任何本地 ACL 组的成员。
  • 在同时启用域感知和禁用域感知的情况下,使用 Message Brokers Toolkit ACL 时,用户标识必须是 SALONE 上创建的任何本地 ACL 组的成员。
运行发布/预订应用程序
  • 必须是 SALONE 中定义的用户标识。例如:SALONE\User1 为有效定义,PRIMARY\User2 和 TRUSTED\User3 为无效定义。
  • 必须是 PRIMARY 中定义的用户标识。例如:PRIMARY\User2 为有效定义,SALONE\User1 和 TRUSTED\User3 为无效定义。
  • 必须是 TRUSTED 中定义的用户标识。例如:TRUSTED\User3 为有效定义,SALONE\User1 和 PRIMARY\User2 为无效定义。
注:
  1. 如果在主域中运行,还可以:
    • 在域 PRIMARY 中定义用户标识。
    • 将该标识添加到 PRIMARY\Domain mqm 组中。
    • PRIMARY\Domain mqm 组添加到 SALONE\mqm 组中。
  2. 如果在可信域中运行,还可以:
    • 在域 TRUSTED 中定义用户标识。
    • 将该标识添加到 TRUSTED\Domain mqm 组中。
    • TRUSTED\Domain mqm 组添加到 SALONE\mqm 组中。
  3. 所有 Message Brokers Toolkit 用户都需要对 WebSphere MQ 主目录下的 WebSphere MQ java \lib 子目录有读访问权(缺省是 X:\Program Files \WebSphere MQ,其中 X: 是操作系统盘)。该访问权根据 WebSphere MQ 仅限于本地组 mqm 中的用户。WebSphere Event Broker 安装可越过该限制并给予所有用户对该子目录的读访问权。
  4. 如果在由配置管理器使用的域(例如,PRIMARY\User4)中定义有效的用户标识,则在不同域(例如,DOMAIN2\User4)中定义的同一用户可使用 PRIMARY\User4 的权限访问 Message Brokers Toolkit
  5. 确保服务用户标识具有与产品目录树关联目录的必要访问权,例如,对日志目录的写访问权。如果为任何组件设置了非缺省的工作路径,确保服务用户标识具有对该位置的适当访问权。
  6. 如果您正使用一个用户标识运行配置管理器,同时在另一台计算机上使用不同的用户标识运行代理,则当您尝试为代理部署消息流时将显示错误消息。若要避免此问题,请进行以下操作:
    • 确保代理的用户标识是 mqm 组和 mqbrkrs 组的成员。
    • 在运行配置管理器的计算机上定义代理的用户标识。
    • 在运行代理的计算机上定义配置管理器的用户标识。
    • 确保所有标识都是小写,从而使它们在计算机间兼容。

Windows 2000 和 Windows XP 的代理安全性更改

服务标识需要能访问代理的注册表键,以便访问代理信息。对于 Windows 2000 和 Windows XP,执行以下操作确保服务标识可以访问注册表键:

相关概念
运行时资源的安全性
相关任务
设置代理域安全性
启用基于主题的安全性
相关参考
mqsicreateaclentry 命令
mqsideleteaclentry 命令
mqsilistaclentry 命令
声明 | 商标 | 下载 | | 支持 | 反馈
Copyright IBM Corporation 1999, 2006 最后更新:2006/05/19
ap08683_