ワークベンチのセキュリティーの考慮

ワークベンチに適切なレベルのセキュリティーを設定します。

ワークベンチでアクションを実行することのできるユーザーを決定するために、以下の要因について考慮します。

  1. ドメイン認識を使用可能にして実行していますか ?
  2. ドメイン認識を使用不可にして実行していますか ?
  3. ワークベンチと構成マネージャーの間のチャネルの固定

セキュリティーを最高水準にするためには、ドメイン認識を使用可能にした上で、 構成マネージャーワークベンチとの間の接続にセキュリティーを構成して実行します。

ワークベンチを実行するユーザーの ID を、8 文字以下の長さにしてください。

ドメイン認識を使用可能にして実行していますか ?

ワークベンチユーザーのドメイン情報をユーザー ID と共に構成マネージャーに送ることによってセキュリティーを高めるために、ドメイン認識を使用可能にして実行します。 DOMAIN1 というドメインのメンバーである WKSTN1 というコンピューター上で構成マネージャーを実行していると仮定します。DOMAIN2 のユーザーもワークベンチを使用したいと思います。以下のステップを実行します。

  1. すべてのドメイン・ユーザーまたはグループを、ACL で使用するローカル・グループ名に追加する必要があります。
  2. 構成マネージャー を作成する場合、 mqsicreateaclentryコマンドで -m オプションを指定して、 ユーザーの検証を行う際にドメインが考慮されるようにします。

ワークベンチを開始すると、 これが自動的にユーザーのユーザー ID のドメイン情報を構成マネージャーに送信します。ドメイン情報にアクセスするには、構成マネージャーにおいてドメイン認識を使用可能にします。

構成マネージャーの実行時に使用しているユーザー ID と別のコンピューター上でブローカーの実行時に使用しているユーザー ID が違う場合は、メッセージ・フローをブローカーにデプロイしようとするとエラー・メッセージが表示されることがあります。この問題を回避するには、以下のようにします。
  • ブローカーのユーザー ID が mqm および mqbrkrs グループのメンバーであることを確認します。
  • 構成マネージャーを実行しているコンピューター上で、ブローカーのユーザー ID を定義します。
  • ブローカーを実行しているコンピューター上で、構成マネージャーのユーザー ID を定義します。
  • すべての ID が小文字で、コンピューター間で互換性があることを確認します。

ドメイン認識を使用不可にして実行していますか ?

ドメイン認識を使用不可にすることを選択した場合、 ワークベンチユーザーのドメイン情報はユーザー ID 情報と共に構成マネージャーに送られないので、 セキュリティーが低くなります。

mqsicreateaclentryコマンドで -a オプションを指定すると、ユーザーはドメインを考慮せずに検証されます。

ドメイン認識を使用不可に設定する場合、以下の質問に回答する必要があります。

  1. ワークベンチ・ユーザーは、ローカル・ドメインに所属していますか ?
    1. いいえ: 次の質問に進みます。
    2. はい: すべてのユーザーを、ACL で使用するローカル・グループ名に追加します。

      ワークベンチと構成マネージャーの間のチャネルの固定に進みます。

  2. ワークベンチ・ユーザーは、他のドメインに所属していますか ?
    1. はい: 他のドメインを構成マネージャーが実行されているコンピューターのトラステッド・ドメインにしてから、 グループおよびユーザーをそのトラステッド・ドメインから構成マネージャーのローカル・グループに追加します。

ワークベンチのドメイン認識をオフにする

ワークベンチは、構成マネージャー上のドメイン認識の設定に関係なく、ユーザーおよびドメイン名を構成マネージャーのキュー・マネージャーに送信します。したがって、メッセージの接続、挿入、または取得にセキュリティーが必要であるために、キュー・マネージャーへの接続に問題が生じることがあります。

ワークベンチのドメイン認識をオフにするには、 以下の方法でセッションを開始してください。
  1. install_dir¥eclipse ディレクトリーに移動します。
  2. コマンド mqsistudio -vmargs -DDomainAware=0 を使用してツールキットを実行します。
代わりの方法として、 ワークベンチを開始するショートカットに変更を加えて、-vmargs -DDomainAware=0 を追加します。

ワークベンチと構成マネージャーの間のチャネルの固定に進みます。

ワークベンチ構成マネージャーの間のチャネルの固定

変更の始まり接続をセキュアにするには、 構成マネージャーワークベンチとの間の SVRCONN チャネルの構成を更新して、 必要なセキュリティー・オプションを組み込みます。

構成マネージャーを作成すると、 デフォルト SVRCONN チャネルの SYSTEM.BKR.CONFIG が作成されます。 このチャネルを使用することも、新しいチャネルを作成することもできます。 別のチャネルを使用する場合、ドメイン接続プロパティー内に新しい名前を設定する必要があります。

変更の終わり
SVRCONN チャネルのワークベンチ側の終端と構成マネージャー側の終端で、それら 2 つのコンポーネントを接続するために実行するセキュリティー出口のペアを作成し、使用可能にします。 構成マネージャーを実行しているコンピューター上のセキュリティー・マネージャーによって、 ワークベンチ・ユーザーが検査されるように、これらの出口をプログラムします。

セキュリティー出口の作成と使用可能化の詳細については、 セキュリティー出口を参照してください。

特記事項 | 商標 | ダウンロード | ライブラリー | サポート | フィードバック

Copyright IBM Corporation 1999, 2009Copyright IBM Corporation 1999, 2009. All Rights Reserved.
最終更新 : 2009-02-13 10:23:38

ap03985_