Sicherheitsüberlegungen bei Brokern

Bei der Entscheidung darüber, welche Benutzer Brokerbefehle ausführen und welche Benutzer die Sicherheit für andere Brokerressourcen steuern sollen, sind mehrere Faktoren zu berücksichtigen.

Beachten Sie bei der Entscheidung darüber, welche Benutzer die verschiedenen Tasks ausführen sollen, die folgenden Schritte:

  1. Benutzerkonten festlegen, die Brokerbefehle bearbeiten können
  2. Benutzeraccounts für die Verwendung der Service-ID des Brokers berechtigen
  3. Sicherheit auf den Brokerwarteschlangen einstellen
  4. Themensicherheit in einem Broker aktivieren

Benutzerkonten festlegen, die Brokerbefehle bearbeiten können

Überlegen Sie, welche Berechtigungen Benutzer-IDs benötigen, die
  • Broker erstellen, ändern, anzeigen, löschen, starten und stoppen
  • Traceinformationen anzeigen, abrufen und ändern

Beantworten Sie folgende Fragen:

  1. Ist Ihr Broker auf einer Linux- oder UNIX-Plattform installiert?
    1. Nein: Weiter mit der nächsten Frage.
    2. Beginn der ÄnderungJa: Stellen Sie sicher, dass Ihre Benutzer-ID über die folgenden Kenndaten verfügt:
      • Sie ist Mitglied der Gruppe mqbrkrs.
      • Falls sie zum Erstellen oder Löschen eines Brokers verwendet wird, muss sie zur Gruppe mqm gehören.

      Weiter mit Abschnitt Benutzeraccounts für die Verwendung der Service-ID des Brokers berechtigen.

      Ende der Änderung
  2. Beginn der ÄnderungBearbeiten Sie Brokerbefehle unter dem lokalen Windows-Konto?
    1. Nein: Weiter mit der nächsten Frage.
    2. Ja: Angenommen, Ihr lokales Konto befindet sich einem PC mit der Bezeichnung WKSTN1.
      Stellen Sie sicher, dass Ihre Benutzer-ID die folgenden Merkmale aufweist:
      • Sie ist Mitglied der Gruppe mqbrkrs.
      • Falls sie zur Erstellung eines Brokers verwendet wird, muss die Benutzer-ID in Ihrer lokalen Domäne definiert sein.
      • Falls sie zum Erstellen oder Starten eines Brokers verwendet wird, muss die Benutzer-ID zur GruppeAdministratoren gehören (beispielsweise WKSTN1\Administratoren).
      • Falls sie zum Erstellen oder Löschen eines Brokers verwendet wird, muss die Benutzer-ID zur Gruppe mqm gehören.

      Weiter mit Abschnitt Benutzeraccounts für die Verwendung der Service-ID des Brokers berechtigen.

    Ende der Änderung
  3. Bearbeiten Sie Brokerbefehle unter einem Windows-Domänenkonto?
    1. Beginn der ÄnderungJa: Angenommen, Ihr PC mit dem Namen WKSTN1 gehört zur Domäne DOMAIN1.
      Stellen Sie sicher, dass die Benutzer-ID über die folgenden Kenndaten verfügt.
      • Sie ist Mitglied der Gruppe mqbrkrs.
      • Falls sie zur Erstellung eines Brokers verwendet wird, muss die Benutzer-ID in Ihrer lokalen Domäne definiert sein.
      • Falls sie zum Erstellen oder Starten eines Brokers verwendet wird, muss die Benutzer-ID zur Gruppe Administratoren gehören. Wenn Sie beispielsweise einen Broker mit DOMAIN1\user1 erstellen, müssen Sie sicherstellen, dass DOMAIN1\user1 zu WKSTN1\Administratoren gehört.
      • Falls sie zum Erstellen oder Löschen eines Brokers verwendet wird, muss die Benutzer-ID zur Gruppe mqm gehören.

      Weiter mit Abschnitt Benutzeraccounts für die Verwendung der Service-ID des Brokers berechtigen.

      Ende der Änderung

Benutzeraccounts für die Verwendung der Service-ID des Brokers berechtigen

Beginn der ÄnderungWenn Sie den Befehl mqsistart mit einer Benutzer-ID ausführen, die zu den Gruppen mqm und mqbrkrs gehört, wird die Benutzer-ID, unter der Sie den Befehl mqsistart ausführen, die Benutzer-ID, unter der der Prozess der Brokerkomponente ausgeführt wird.Ende der Änderung

Beantworten Sie folgende Fragen:

  1. Ist Ihr Broker auf einer Linux- oder UNIX-Plattform installiert?
    1. Nein: Weiter mit der nächsten Frage.
    2. Beginn der ÄnderungJa: Stellen Sie sicher, dass die Benutzer-ID zur Gruppe mqbrkrs gehört.

      Weitere Informationen finden Sie unter Sicherheit auf den Brokerwarteschlangen einstellen.

      Ende der Änderung
  2. Werden auf diesem Windows-System vorhandene Broker ausgeführt?
    1. Nein: Sie können eine Service-ID für den Broker auswählen. Weiter mit der nächsten Frage.
    2. Ja: Auf der Windows-Plattform müssen alle Broker mit der gleichen Service-ID ausgeführt werden. Verwenden Sie bei der Erstellung des neuen Brokers Ihre vorhandene Service-ID.
  3. Soll Ihr Broker unter einem lokalen Windows-Benutzerkonto ausgeführt werden?
    1. Nein: Weiter mit der nächsten Frage.
    2. Beginn der ÄnderungJa: Stellen Sie sicher, dass Ihre Benutzer-ID über die folgenden Kenndaten verfügt:
      • Sie ist in Ihrer lokalen Domäne definiert.
      • Sie ist Mitglied der Gruppe mqbrkrs.
      • Ihr wurde in der lokalen Sicherheitsrichtlinie unter Windows die Berechtigung Anmeldung als Dienst zugewiesen. Die Richtlinie kann durch Auswahl von Systemsteuerung > Leistung und Wartung > Verwaltung > Lokale Sicherheitsrichtlinie aufgerufen werden.

      Weitere Informationen finden Sie unter Sicherheit auf den Brokerwarteschlangen einstellen.

      Ende der Änderung
  4. Soll Ihr Broker unter einem Windows-Domänenkonto ausgeführt werden?
    1. Ja: Angenommen, Ihr PC mit dem Namen WKSTN1 gehört zur Domäne DOMAIN1. Wenn Sie einen Broker ausführen (z. B. 'DOMAIN1\user1') stellen Sie Folgendes sicher:
      • Beginn der ÄnderungIhrer Benutzer-ID wurde (über die lokale Sicherheitsrichtlinie) die Berechtigung 'Anmeldung als Dienst' erteilt.Ende der Änderung
      • 'DOMAIN1\user1' ist ein Mitglied von 'DOMAIN1\Domain mqbrkrs'.
      • 'DOMAIN1\Domain mqbrkrs' ist ein Mitglied von 'WKSTN1\mqbrkrs'.
      • Der Benutzer-ID wurde in der lokalen Sicherheitsrichtlinie unter Windows die Berechtigung Anmeldung als Dienst zugewiesen. Die Richtlinie kann durch Auswahl von Systemsteuerung > Leistung und Wartung > Verwaltung > Lokale Sicherheitsrichtlinie aufgerufen werden.

      Weitere Informationen finden Sie unter Sicherheit auf den Brokerwarteschlangen einstellen.

Beginn der Änderung

Sicherheit auf den Brokerwarteschlangen einstellen

Beim Ausführen des Befehls mqsicreatebroker erhält die lokale mqbrkrs-Gruppe Zugriff auf interne Warteschlangen, deren Namen mit den Zeichen SYSTEM.BROKER beginnen. Diese Zugriffssteuerungsliste darf nicht geändert werden, da sie für eine ordnungsgemäße Funktionsweise des Brokers vorausgesetzt wird.

Der Konfigurationsmanager, der den Broker steuert, reiht Nachrichten in die Warteschlange SYSTEM.BROKER.ADMIN.QUEUE ein. Wenn sich Ihr Konfigurationsmanager auf demselben Computer wie Ihr Broker befindet, ist die zugehörige Service-ID Mitglied der Gruppe mqbrkrs. Es ist deshalb keine weitere Maßnahme erforderlich. Wenn sich der Konfigurationsmanager auf einem anderen Computer befindet, müssen Sie sicherstellen, dass die zugehörige Service-ID auf dem Computer definiert ist, auf dem der Broker ausgeführt wird. Stellen Sie außerdem sicher, dass er auf WebSphere MQ zugreifen kann, um Nachrichten in die Warteschlange SYSTEM.BROKER.ADMIN.QUEUE einzureihen.

Wenn Sie Brokerverbünde für Publish/Subscribe verwenden, müssen andere Broker in Ihrer Domäne Nachrichten in die Warteschlange SYSTEM.BROKER.INTERBROKER.QUEUE einreihen. Deshalb benötigen ihre Service-IDs die Berechtigung zum Einreihen von Nachrichten in diese Warteschlange.

Ende der Änderung

Themensicherheit in einem Broker aktivieren

Führen Sie diese Task aus, indem Sie folgende Frage beantworten:

Möchten Sie Themensicherheit im Broker aktivieren?
  1. Ja: Weiter mit Themenspezifische Sicherheit aktivieren.
  2. Nein: Weiter mit Sicherheitsüberlegungen für einen Konfigurationsmanager.
Bemerkungen | Marken | Downloads | Bibliothek | Unterstützung | Feedback

Copyright IBM Corporation 1999, 2009Copyright IBM Corporation 1999, 2009. Alle Rechte vorbehalten.
Letzte Aktualisierung : 2009-02-17 15:49:59

ap03982_