Considerando a segurança para um Configuration Manager

Início da mudançaDetermine as características de segurança e a associação aos grupos necessárias para que os IDs dos usuários desempenhem tarefas associadas ao Configuration Manager.Fim da mudança

Início da mudançaConsidere as características e a associação ao grupo necessária para IDs de usuários que desempenham as seguintes funções:
  • Execute como um ID do usuário do serviço (executando o Configuration Manager)
  • Processe os comandos do Configuration Manager
  • Acesse as filas do Configuration Manager.
Fim da mudança

Uma ACL está associada ao Configuration Manager. Os usuários e grupos, que possuem filiação de controle completo da ACL do Configuration Manager, possuem, implicitamente, filiação de controle completo de todas as outras ACLs. A filiação de controle completo da ACL do Configuration Manager também permite que os usuários ou grupos modifiquem as ACLs para qualquer objeto, incluindo o Configuration Manager.

Leia as seções apropriadas da lista:

  1. Decidindo Quais Contas de Usuário Podem Processar Comandos Configuration Manager
  2. Decidindo qual conta de usuário utilizar para o ID de serviço do Configuration Manager
  3. Definindo a segurança nas filas do Configuration Manager
  4. Executando o Configuration Manager em um ambiente de domínio

Decidindo Quais Contas de Usuário Podem Processar Comandos Configuration Manager

Durante esta tarefa você decide quais permissões são requeridas para os IDs dos usuários que:
  • Criar, alterar, listar, excluir, iniciar e interromper um Configuration Manager
  • Exibir, recuperar e alterar informações de rastreio.

Responda as seguintes perguntas:

  1. Início da mudançaSeu Configuration Manager está em execução em um sistema operacional Linux ou UNIX?
    1. Não: Vá para a próxima pergunta.
    2. Sim: Assegure que seu ID do usuário seja um membro do grupo mqbrkrs.

      Vá para Decidindo qual conta de usuário utilizar para o ID de serviço do Configuration Manager

    Fim da mudança
  2. Você está executando comandos Configuration Manager em uma conta local do Windows?
    1. Não: Vá para a próxima pergunta.
    2. Sim: Suponha que sua conta local esteja em um computador chamado, por exemplo, WKSTN1. Quando criar umConfiguration Manager, assegure-se de que seu ID de usuário está definido em seu domínio local. Quando criar ou iniciar um Configuration Manager, certifique-se de que seu ID do usuário seja membro de WKSTN1\Administrators.

      Vá para Decidindo qual conta de usuário utilizar para o ID de serviço do Configuration Manager

  3. Você está executando comandos Configuration Manager em uma conta de domínio do Windows?
    1. Sim: Suponha que seu computador chamado, por exemplo, WKSTN1, é um membro de um domínio chamado DOMAIN1. Quando você criar um Configuration Manager utilizando, por exemplo, DOMAIN1\user1, assegure que DOMAIN1\user1 seja um membro de WKSTN1\Administrators.

      Vá para Decidindo qual conta de usuário utilizar para o ID de serviço do Configuration Manager

Decidindo qual conta de usuário utilizar para o ID de serviço do Configuration Manager

Início da mudançaQuando você executar o comando mqsistart com um ID do usuário que seja membro dos grupos mqm e mqbrkrs, o ID do usuário sob o qual você está executando o comando mqsistart se torna o ID do usuário sob o qual o processo do componente do Configuration Manager será executado.Fim da mudança

Responda as seguintes perguntas:

  1. Início da mudançaSeu Configuration Manager está em execução em um sistema operacional Linux ou UNIX?
    1. Não: Vá para a próxima pergunta.
    2. Sim: Assegure que seu ID do usuário seja um membro do grupo mqbrkrs.

      Vá para Definindo a segurança nas filas do Configuration Manager.

    Fim da mudança
  2. Deseja que seuConfiguration Manager seja executado sob uma conta local do Windows?
    1. Não: Vá para a próxima pergunta.
    2. Sim:
      Assegure que seu ID de usuário tenha as seguinte características:
      • Ele está definido em seu domínio local
      • Ele é um membro do grupo mqbrkrs
      • Ele é um membro do grupo mqm
      • Ele é um membro do grupo Administradores
      • Início da mudançaEle recebeu o privilégio Efetuar Logon como um Serviço na Política de Segurança Local no Windows, que você pode acessar selecionando Painel de Controle > Desempenho e Manutenção > Ferramentas Administrativas > Política de Segurança Local.Fim da mudança

      Vá para Definindo a segurança nas filas do Configuration Manager.

  3. Deseja que seu Configuration Manager seja executado sobre uma conta de domínio do Windows?
    1. Sim: Suponha que seu computador chamado, por exemplo, WKSTN1, é um membro de um domínio chamado DOMAIN1. Ao executar um Configuration Manager utilizando, por exemplo, DOMAIN1\user1, assegure que:
      1. Início da mudançauser1 esteja definido em DOMAIN1Fim da mudança
      2. DOMAIN1\user1 seja membro de DOMAIN1\Domain mqbrkrs
      3. DOMAIN1\user1 seja um membro de WKSTN1\mqm
      4. DOMAIN1\Domain mqbrkrs seja um membro de WKSTN1\mqbrkrs
      5. DOMAIN1\user1 seja um membro de WKSTN1\Administradores
      6. Início da mudançaO ID do usuário (user1) recebeu o privilégio Efetuar logon como um serviço na Política de Segurança Local no Windows, que você pode acessar selecionando Painel de Controle > Desempenho e Manutenção > Ferramentas Administrativas > Política de Segurança Local.Fim da mudança

      Vá para Definindo a segurança nas filas do Configuration Manager.

Definindo a segurança nas filas do Configuration Manager

Início da mudançaQuando você executar o comando mqsicreateconfigmgr, o grupo mqbrkrs receberá autoridade de acesso para as seguintes filas:
  • SYSTEM.BROKER.CONFIG.QUEUE
  • SYSTEM.BROKER.CONFIG.REPLY
  • SYSTEM.BROKER.ADMIN.REPLY
  • SYSTEM.BROKER.SECURITY.QUEUE
  • SYSTEM.BROKER.MODEL.QUEUE.
Fim da mudança

Início da mudançaOs Intermediários e Servidores de Nome de Usuário se comunicam com o Configuration Manager através destas filas. Se eles forem executados no mesmo computador que o Configuration Manager, você não precisará fazer nada mais para ativá-los para comunicação. Entretanto, se eles estiverem em execução em um computador diferente, você deverá assegurar que seus IDs de serviço existam no computador que está executando o Configuration Manager e incluir essas conta de usuário no grupo mqbrkrs ou conceder a ela acesso explícito ao MQ para colocar mensagens nas filas do Configuration Manager.Fim da mudança

Os administradores que utilizam comandos ou o Toolkit precisam da autoridade para colocar mensagens nas filas do Configuration Manager. Você pode utilizar o comando mqsicreateaclentry para criar o acesso necessário ao WebSphere MQ.

Executando o Configuration Manager em um ambiente de domínio

Avisos | Marcas Registradas | Downloads | Biblioteca | Suporte | Feedback

Copyright IBM Corporation 1999, 2009Copyright IBM Corporation 1999, 2009. Todos os Direitos Reservados.
Última atualização : 2009-02-13 15:33:44

ap03984_