Windows プラットフォームでのセキュリティー要件

セキュリティー要件は、実行する管理用タスクによって異なります。

以下の表は、さまざまな管理用タスクに対応する要件を要約したものです。 この表は、ローカル・システム SALONE に定義されたローカル・セキュリティー・ドメイン、 PRIMARY という名前の 1 次ドメイン、または TRUSTED という名前のトラステッド・ドメインを使用する場合に、どのグループ・メンバーシップが必要であるかを示しています。 この表の内容は、 構成マネージャーおよびユーザー・ネーム・サーバーが同じセキュリティー・ドメインで作成されたことを前提とするものです。

ユーザーの実行内容 ローカル・ドメイン (SALONE) 1 次ドメイン (PRIMARY) / Windows® 単一ドメイン (PRIMARY) トラステッド・ドメイン (TRUSTED) / ドメイン・ツリー中の Windows 親/子ドメイン (TRUSTED)
ブローカー、構成マネージャーユーザー・ネーム・サーバー、またはデータベースの作成 (mqsicreatedb を使用した)
  • SALONE で定義されているユーザー ID でなければならない。
  • Administrators のメンバー。
  • PRIMARY で定義されているユーザー ID でなければならない。
  • SALONE¥Administrators のメンバー
  • TRUSTED で定義されているユーザー ID でなければならない。
  • SALONE¥Administrators のメンバー
ブローカー、構成マネージャーユーザー・ネーム・サーバーDatabaseInstanceMgr の変更
  • SALONE で定義されているユーザー ID でなければならない。
  • Administrators のメンバー。
  • PRIMARY で定義されているユーザー ID でなければならない。
  • SALONE¥Administrators のメンバー
  • TRUSTED で定義されているユーザー ID でなければならない。
  • SALONE¥Administrators のメンバー
ブローカー、構成マネージャーユーザー・ネーム・サーバー、または mqsideletedb を持つデータベースの削除
  • Administrators のメンバー。
  • SALONE¥Administrators のメンバー
  • SALONE¥Administrators のメンバー
変更の始まりブローカー、構成マネージャーユーザー・ネーム・サーバー、または DatabaseInstanceMgr の開始、 あるいは検査コマンド mqsicvp の実行変更の終わり 変更の始まり
  • Administrators のメンバー。
変更の終わり
変更の始まり
  • SALONE¥Administrators のメンバー
変更の終わり
変更の始まり
  • SALONE¥Administrators のメンバー
変更の終わり
ブローカー、構成マネージャーユーザー・ネーム・サーバー、または DatabaseInstanceMgr のリスト表示
  • SALONE で定義されているユーザー ID でなければならない。
  • ユーザー ID に、レジストリー中の WebSphereMQIntegrator エントリーの下のレジストリー値を照会する権限がなければならない。
  • コマンド mqsilist broker_name execution_group_name を発行する場合は、 mqbrkrs のメンバー
  • PRIMARY で定義されているユーザー ID でなければならない。
  • ユーザー ID に、レジストリー中の WebSphereMQIntegrator エントリーの下のレジストリー値を照会する権限がなければならない。
  • コマンド mqsilist broker_name execution_group_name を発行する場合は、 PRIMARY¥Domain mqbrkrs のメンバー
  • TRUSTED で定義されているユーザー ID でなければならない。
  • ユーザー ID に、レジストリー中の WebSphereMQIntegrator エントリーの下のレジストリー値を照会する権限がなければならない。
  • コマンド mqsilist broker_name execution_group_name を発行する場合は、 TRUSTED¥Domain mqbrkrs のメンバー
トレース情報の変更、表示、取り出し
  • SALONE で定義されているユーザー ID でなければならない。
  • mqbrkrs のメンバー。
  • PRIMARY で定義されているユーザー ID でなければならない。
  • PRIMARY¥Domain mqbrkrs のメンバー
  • TRUSTED で定義されているユーザー ID でなければならない。
  • TRUSTED¥Domain mqbrkrs のメンバー
ユーザー・ネーム・サーバーの実行 (サービス・ユーザー ID)
  • SALONE で定義されているユーザー ID でなければならない。
  • mqbrkrs のメンバー。
  • 変更の始まりWindows のローカル・セキュリティー・ポリシーに Logon as a service 特権がなければならない。変更の終わり
  • PRIMARY で定義されているユーザー ID でなければならない。
  • PRIMARY¥Domain mqbrkrs のメンバー
  • 変更の始まりWindows のローカル・セキュリティー・ポリシーに Logon as a service 特権がなければならない。変更の終わり
  • TRUSTED で定義されているユーザー ID でなければならない。
  • TRUSTED¥Domain mqbrkrs のメンバー
  • 変更の始まりWindows のローカル・セキュリティー・ポリシーに Logon as a service 特権がなければならない。変更の終わり
DatabaseInstanceMgrの実行 (サービス・ユーザー ID)
  • SALONE で定義されているユーザー ID でなければならない。
  • mqbrkrs のメンバー。
  • PRIMARY で定義されているユーザー ID でなければならない。
  • PRIMARY¥Domain mqbrkrs のメンバー。
  • TRUSTED で定義されているユーザー ID でなければならない。
  • TRUSTED¥Domain mqbrkrs のメンバー。
構成マネージャーの実行 (サービス・ユーザー ID)
  • SALONE で定義されているユーザー ID でなければならない。
  • mqbrkrs のメンバー。
  • mqm のメンバー
  • Adminstrators のメンバー。
  • 変更の始まりWindows のローカル・セキュリティー・ポリシーに Logon as a service 特権がなければならない。変更の終わり
  • PRIMARY で定義されているユーザー ID でなければならない。
  • PRIMARY¥Domain mqbrkrs のメンバー
  • SALONE¥mqm のメンバー1
  • SALONE/Adminstrators のメンバー。
  • 変更の始まりWindows のローカル・セキュリティー・ポリシーに Logon as a service 特権がなければならない。変更の終わり
  • TRUSTED で定義されているユーザー ID でなければならない。
  • TRUSTED¥Domain mqbrkrs のメンバー
  • SALONE¥mqm のメンバー2
  • SALONE/Adminstrators のメンバー。
  • 変更の始まりWindows のローカル・セキュリティー・ポリシーに Logon as a service 特権がなければならない。変更の終わり
ブローカーの実行 (WebSphere® MQ ファースト・パスはオフ) (サービス・ユーザー ID)
  • SALONE で定義されているユーザー ID でなければならない。
  • mqbrkrs のメンバー。
  • 変更の始まりWindows のローカル・セキュリティー・ポリシーに Logon as a service 特権がなければならない。変更の終わり
  • PRIMARY で定義されているユーザー ID でなければならない。
  • PRIMARY¥Domain mqbrkrs のメンバー
  • 変更の始まりWindows のローカル・セキュリティー・ポリシーに Logon as a service 特権がなければならない。変更の終わり
  • TRUSTED で定義されているユーザー ID でなければならない。
  • TRUSTED¥Domain mqbrkrs のメンバー
  • 変更の始まりWindows のローカル・セキュリティー・ポリシーに Logon as a service 特権がなければならない。変更の終わり
ブローカーの実行 (WebSphere MQ ファースト・パスはオン) (サービス・ユーザー ID)
  • SALONE で定義されているユーザー ID でなければならない。
  • mqbrkrs のメンバー。
  • mqm のメンバー
  • 変更の始まりWindows のローカル・セキュリティー・ポリシーに Logon as a service 特権がなければならない。変更の終わり
  • PRIMARY で定義されているユーザー ID でなければならない。
  • PRIMARY¥Domain mqbrkrs のメンバー
  • SALONE¥mqm のメンバー
  • 変更の始まりWindows のローカル・セキュリティー・ポリシーに Logon as a service 特権がなければならない。変更の終わり
  • TRUSTED で定義されているユーザー ID でなければならない。
  • TRUSTED¥Domain mqbrkrs のメンバー
  • SALONE¥mqm のメンバー
  • 変更の始まりWindows のローカル・セキュリティー・ポリシーに Logon as a service 特権がなければならない。変更の終わり
WebSphere MQ パブリッシュ/サブスクライブ・ブローカーのクリア、結合、またはリスト
  • SALONE で定義されているユーザー ID でなければならない。
  • mqbrkrs のメンバー。
  • PRIMARY で定義されているユーザー ID でなければならない。
  • PRIMARY¥Domain mqbrkrs のメンバー
  • TRUSTED で定義されているユーザー ID でなければならない。
  • TRUSTED¥Domain mqbrkrs のメンバー
Message Brokers Toolkit の実行3
  • SALONE で定義されているユーザー ID でなければならない4。 例えば、SALONE¥User1 は有効であるが、PRIMARY¥User2 や TRUSTED¥User3 は有効ではない。
  • ドメイン認識が使用可能かどうかに関係なく、Message Brokers Toolkit ACL を使用するときは、 ユーザー ID は SALONE で作成されるローカル ACL グループのいずれかのメンバーでなければならない。
  • ドメイン認識が使用可能かどうかに関係なく、Message Brokers Toolkit ACL を使用するときは、 ユーザー ID は SALONE で作成されるローカル ACL グループのいずれかのメンバーでなければならない。
パブリッシュ/サブスクライブ・アプリケーションの実行
  • SALONE で定義されているユーザー ID でなければならない。 例えば、SALONE¥User1 は有効であるが、PRIMARY¥User2 や TRUSTED¥User3 は有効ではない。
  • PRIMARY で定義されているユーザー ID でなければならない。 例えば、PRIMARY¥User2 は有効であるが、SALONE¥User1 や TRUSTED¥User3 は有効ではない。
  • TRUSTED で定義されているユーザー ID でなければならない。 例えば、TRUSTED¥User3 は有効であるが、SALONE¥User1 や PRIMARY¥User2 は有効ではない。
注 :
  1. 1 次ドメイン中で実行している場合は、以下の作業も行うことができます。
    • ドメイン PRIMARY 中にユーザー ID を定義します。
    • この ID をグループ PRIMARY¥Domain mqm に追加します。
    • PRIMARY¥Domain mqm グループをグループ SALONE¥mqm に追加します。
  2. トラステッド・ドメイン中で実行している場合は、以下の作業も行うことができます。
    • ドメイン TRUSTED 中にユーザー ID を定義します。
    • この ID をグループ TRUSTED¥Domain mqm に追加します。
    • TRUSTED¥Domain mqm グループをグループ SALONE¥mqm に追加します。
  3. どの Message Brokers Toolkit ユーザーにも、WebSphere MQ ホーム・ディレクトリーの WebSphere MQ java ¥lib サブディレクトリーに対する読み取りアクセス権が必要です (デフォルトの場所は X:¥Program Files ¥WebSphere MQ。ただし X: はオペレーティング・システム・ディスク)。 WebSphere MQ では、このアクセス権は、ローカル・グループ mqm 中のユーザーだけに制限されています。 WebSphere Event Broker をインストールすると、この制限がオーバーライドされ、 このサブディレクトリーの読み取りアクセス権がすべてのユーザーに与えられます。
  4. 構成マネージャーによって使用されるドメイン (PRIMARY¥User4 など) に有効なユーザー ID が定義されている場合、 その同じユーザーが別のドメイン (DOMAIN2¥User4 など) でも定義されていると、 PRIMARY¥User4 の権限を使用して Message Brokers Toolkit にもアクセスできます。
以下の一般注意も適用されます。
  1. サービス・ユーザー ID に、 製品ディレクトリー・ツリーの関連ディレクトリーへの必要なアクセス権、 例えばログ・ディレクトリーへの書き込みアクセス権などがあるか確認します。 いずれかのコンポーネントに対してデフォルト以外の作業パスを設定した場合、 サービス・ユーザー ID に、その場所への適切なアクセス権があるかどうか確認します。
  2. 構成マネージャーの実行時に使用しているユーザー ID と別のコンピューター上でブローカーの実行時に使用しているユーザー ID が違う場合は、メッセージ・フローをブローカーにデプロイしようとするとエラー・メッセージが表示されることがあります。このエラーを回避するには、以下のようにします。
    • ブローカーのユーザー ID が mqm および mqbrkrs グループのメンバーであることを確認します。
    • 構成マネージャーを実行しているコンピューター上で、ブローカーのユーザー ID を定義します。
    • ブローカーが稼働しているコンピューター上で、構成マネージャーのユーザー ID を定義します。
    • すべてのユーザー ID が小文字で、コンピューター間で互換性があることを確認します。

Windows XP および Windows Server 2003 でのブローカー・セキュリティー要件

Windows XP および Windows Server 2003 では、サービス・ユーザー ID は mqbrkrs グループのメンバーでなければなりません。また、Administrators グループのメンバーでなければなりません (オプション)。 Administrators グループのメンバーになっているサービス・ユーザー ID は、ブローカーのレジストリー・キーへのアクセス許可を持つので、ブローカー情報にアクセスできます。 サービス・ユーザー ID が Administrators グループに属さない場合、 Windows レジストリーを編集することによって、 Administrators 許可がなくてもサービス・ユーザー ID がレジストリー・キーにアクセスできるようにすることができます。

両方のオペレーティング・システムのための指示は、明記されている箇所を除いて同一です。

  1. 「スタート」 > 「ファイル名を指定して実行」をクリックして、regedit と入力してから「OK」をクリックします。 レジストリー・エディターが開きます。
  2. 左側のペインで、HKEY_LOCAL_MACHINE¥SOFTWARE¥IBM¥WebSphereMQIntegrator にナビゲートします。
  3. 「WebSphereMQIntegrator」を右クリックして、「アクセス許可」を選択します。 「WebSphereMQIntegrator のアクセス許可」ウィンドウが開きます。
  4. グループまたはユーザー名のリストの下にある「追加」をクリックします。 「ユーザーまたはグループの選択」ウィンドウが開きます。
  5. 「詳細設定」をクリックしてから「今すぐ検索」をクリックして、現在のユーザーおよびグループをリストします。 リストから mqbrkrs グループを選択して強調表示してから、「OK」を 2 回クリックします。
  6. 「WebSphereMQIntegrator のアクセス許可」ウィンドウの「詳細設定」をクリックして、特殊なアクセス許可を設定します。 「WebSphereMQIntegrator のセキュリティの詳細設定」ウィンドウが開きます。
  7. 「mqbrkrs」を強調表示してから、「編集」をクリックします。 「WebSphereMQIntegrator のアクセス許可のエントリ」ウィンドウが開きます。
  8. 「値の設定」「サブキーの作成」、および「削除」を選択して、「OK」をクリックします。
  9. Windows Server 2003 で「継承可能なアクセス許可を継承できるようにする」が選択されていること、または Windows XP で「親から継承」が選択されていることを確認して、「OK」をクリックします。
  10. 「OK」をクリックして残りのウィンドウを閉じてから、レジストリー・エディターを閉じます。
関連概念
ランタイム・リソースのセキュリティー: アクセス制御リスト
関連タスク
ドメイン・コンポーネントのセキュリティーの構成
ブローカー・ドメインのセキュリティーのセットアップ
トピック・ベースのセキュリティーの使用可能化
関連資料
mqsicreateaclentry コマンド
mqsideleteaclentry コマンド
mqsilistaclentry コマンド
特記事項 | 商標 | ダウンロード | ライブラリー | サポート | フィードバック

Copyright IBM Corporation 1999, 2009Copyright IBM Corporation 1999, 2009. All Rights Reserved.
最終更新 : 2009-02-13 10:23:39

ap08683_