ブローカーのセキュリティーの考慮

どのユーザーがブローカー・コマンドを実行できて、 どのユーザーが他のブローカー・リソースのセキュリティーを制御できるかを決める際に、 検討する必要のあるいくつかの要素があります。

さまざまなタスクをどのユーザーが実行するかを決める際には、以下のステップを考慮してください。

  1. ブローカー・コマンドを処理できるユーザー・アカウントを決定する
  2. ブローカー・サービス ID として使用するユーザー・アカウントを決定する
  3. ブローカーのキューのセキュリティーの設定
  4. ブローカー内のトピック・ベースのセキュリティーの使用可能化

ブローカー・コマンドを処理できるユーザー・アカウントを決定する

以下を行うユーザー ID に必要な許可を決定します。
  • ブローカーの作成、変更、リスト、削除、開始、および停止
  • トレース情報の表示、検索、および変更

以下の質問に回答します。

  1. ブローカーは Linux® または UNIX® オペレーティング・システムにインストールされていますか ?
    1. いいえ: 次の質問に進みます。
    2. 変更の始まりはい: ユーザー ID が以下の特性を持つことを確認します。
      • mqbrkrs のメンバーである。
      • それがブローカーの作成または削除に使用される場合、mqm グループのメンバーでなければなりません。

      ブローカー・サービス ID として使用するユーザー・アカウントを決定するに進みます。

      変更の終わり
  2. 変更の始まりWindows® ローカル・アカウントの下でブローカー・コマンドを処理しますか ?
    1. いいえ: 次の質問に進みます。
    2. はい: 仮にローカル・アカウントが WKSTN1 というコンピューター上にあるとします。
      ユーザー ID が以下の特性を持つことを確認します。
      • mqbrkrs のメンバーである。
      • ブローカーの作成に使用される場合、ユーザー ID はローカル・ドメインに定義されていなければなりません。
      • ブローカーの作成または始動に使用される場合、ユーザー ID は Administrators グループ (例えば、 WKSTN1¥Administrators) のメンバーでなければなりません。
      • それがブローカーの作成または削除に使用される場合、 ユーザー ID は mqm グループのメンバーでなければなりません。

      ブローカー・サービス ID として使用するユーザー・アカウントを決定するに進みます。

    変更の終わり
  3. Windows ドメイン・アカウントの下でブローカー・コマンドを処理しますか ?
    1. 変更の始まりはい: 仮に WKSTN1 というユーザーのコンピューターが DOMAIN1 というドメインのメンバーであるとして、
      ユーザー ID が以下の特性を持つことを確認します。
      • mqbrkrs のメンバーである。
      • ブローカーの作成に使用される場合、ユーザー ID はローカル・ドメインに定義されていなければなりません。
      • それがブローカーの作成または始動に使用される場合、 ユーザー ID は Administrators グループのメンバーでなければなりません。 例えば、DOMAIN1¥user1 を使用してブローカーを作成する場合、 DOMAIN1¥user1WKSTN1¥Administrators のメンバーであることを確認してください。
      • それがブローカーの作成または削除に使用される場合、 ユーザー ID は mqm グループのメンバーでなければなりません。

      ブローカー・サービス ID として使用するユーザー・アカウントを決定するに進みます。

      変更の終わり

ブローカー・サービス ID として使用するユーザー・アカウントを決定する

変更の始まりmqsistart コマンドを mqm および mqbrkrs グループのメンバーであるユーザー ID によって実行する場合、mqsistart コマンドを実行するユーザー ID は、ブローカー・コンポーネント・プロセスを実行するユーザー ID になります。変更の終わり

以下の質問に回答します。

  1. ブローカーは Linux または UNIX オペレーティング・システムにインストールされていますか ?
    1. いいえ: 次の質問に進みます。
    2. 変更の始まりはい: ユーザー ID が mqbrkrs グループのメンバーであることを確認します。

      ブローカーのキューのセキュリティーの設定に進みます。

      変更の終わり
  2. この Windows システムで実行している既存のブローカーはありますか?
    1. いいえ: ブローカーのサービス ID を選択できます。 次の質問に進みます。
    2. はい: Windows プラットフォームで、すべてのブローカーは同じサービス ID で実行していなければなりません。 新規のブローカーを作成する場合、既存のサービス ID を使用します。
  3. Windows ローカル・アカウントの下でブローカーを実行しますか ?
    1. いいえ: 次の質問に進みます。
    2. 変更の始まりはい: ユーザー ID が以下の特性を持つことを確認します。
      • ローカル・ドメインに定義されている。
      • mqbrkrs のメンバーである。
      • Windows のローカル・セキュリティー・ポリシーで、「サービスとしてログオン」特権を付与されている。ローカル・セキュリティー・ポリシーには、「コントロール パネル」 > 「パフォーマンスとメンテナンス」 > 「管理ツール」 > 「ローカル セキュリティ ポリシー」と選択することによってアクセスできます。

      ブローカーのキューのセキュリティーの設定に進みます。

      変更の終わり
  4. Windows ドメイン・アカウントの下でブローカーを実行しますか ?
    1. はい: 仮に WKSTN1 というユーザーのコンピューターが DOMAIN1 というドメインのメンバーであるとして、ブローカーを、例えば DOMAIN1¥user1 を使用して実行するのであれば、以下のことを確認します。
      • 変更の始まりユーザー ID に「サービスとしてログオン」特権が (ローカル・セキュリティー・ポリシーから) 与えられている。変更の終わり
      • DOMAIN1¥user1 が DOMAIN1¥Domain mqbrkrs のメンバーである。
      • DOMAIN1¥Domain mqbrkrs が WKSTN1¥mqbrkrs のメンバーである。
      • ユーザー ID が、Windows のローカル・セキュリティー・ポリシーで、「サービスとしてログオン」特権を付与されている。ローカル・セキュリティー・ポリシーには、「コントロール パネル」 > 「パフォーマンスとメンテナンス」 > 「管理ツール」 > 「ローカル セキュリティ ポリシー」と選択することによってアクセスできます。

      ブローカーのキューのセキュリティーの設定に進みます。

変更の始まり

ブローカーのキューのセキュリティーの設定

mqsicreatebroker コマンドを実行すると、 ローカルの mqbrkrs グループに、名前が SYSTEM.BROKER の文字で始まる内部キューへのアクセス権限が付与されます。 この ACL はブローカーが正常に機能するために必要なので、変更しないでください。

ブローカーを制御する構成マネージャーは、メッセージを SYSTEM.BROKER.ADMIN.QUEUE に入れます。 構成マネージャーがブローカーと同じコンピューター上にある場合、そのサービス ID は mqbrkrs グループ内にあるので、追加の操作は必要ありません。 構成マネージャーが別のコンピューター上にある場合は、 そのサービス ID がブローカーを実行しているコンピューターに対して定義されていることを確認し、 メッセージを SYSTEM.BROKER.ADMIN.QUEUE に入れることができるように WebSphere® MQ アクセスがあることを確認してください。

パブリッシュ/サブスクライブのために集合を使用する場合、 ドメイン内の他のブローカーはメッセージを SYSTEM.BROKER.INTERBROKER.QUEUE に入れる必要があります。 したがって、そのサービス ID にはそのキューにメッセージを入れるための権限が必要となります。

変更の終わり

ブローカー内のトピック・ベースのセキュリティーの使用可能化

このタスクは、以下の質問に回答することによって行います。

ブローカー内のトピック・ベースのセキュリティーを使用可能にしますか ?
  1. はい: トピック・ベースのセキュリティーの使用可能化に進みます。
  2. いいえ: 構成マネージャーのセキュリティーの考慮に進みます。
特記事項 | 商標 | ダウンロード | ライブラリー | サポート | フィードバック

Copyright IBM Corporation 1999, 2009Copyright IBM Corporation 1999, 2009. All Rights Reserved.
最終更新 : 2009-02-13 10:23:38

ap03982_