トピック・ベースのセキュリティーの使用可能化

変更の始まりブローカーのパブリッシュ/サブスクライブ・サービスを使用するアプリケーションが存在する場合、メッセージがパブリッシュおよびサブスクライブされるトピックに対して追加レベルのセキュリティーを適用できます。 このトピック・ベースのセキュリティーは、ユーザー・ネーム・サーバーによって管理されます。変更の終わり

変更の始まり

始める前に:

ユーザー・ネーム・サーバーを作成する前に、ユーザー・ネーム・サーバーのセキュリティーの考慮を参照してください。

変更の終わり

トピック・ベースのセキュリティーを使用可能にするには、以下のステップを完了します。

  1. ユーザー・ネーム・サーバーを作成します。 詳細については、ユーザー・ネーム・サーバーの作成を参照してください。
  2. mqsicreatebroker コマンドで (既存のブローカーを使用している場合は mqsichangebroker コマンドで)、-j フラグを選択し、-s パラメーターをユーザー・ネーム・サーバーのキュー・マネージャーの名前に設定します。
  3. mqsicreateconfigmgr または mqsichangeconfigmgr コマンドで -s パラメーターを ユーザー・ネーム・サーバー のキュー・マネージャーの名前に設定します。
  4. 追加のセキュリティーが必要なトピック用の ACL を作成します。 詳しくは、ACL 項目の作成を参照してください。
  5. ブローカーのサービス・ユーザー ID に、以下のアクションを実行する権限があることを確認します。
    1. メッセージ・フローに含まれる各入力キューからのメッセージの読み取り
    2. メッセージ・フローに含まれる出力、応答、および障害キューへのメッセージの書き込み
  6. パブリッシュ・アプリケーションおよびサブスクライブ・アプリケーションが実行するユーザー ID に、メッセージ・フロー・キューに対する十分なメッセージ書き込み権限とメッセージ読み取り権限があることを確認します。
    1. パブリッシュ・アプリケーションに対し、メッセージ・フローの入力キューへのメッセージの書き込みを許可します。
    2. サブスクリプションを登録するアプリケーションに対し、SYSTEM.BROKER.CONTROL.QUEUE キューへのメッセージの書き込みを許可します。
    3. サブスクライブ・アプリケーションに対し、メッセージがパブリッシュされるキューからのメッセージの読み取りを許可します。
    4. パブリッシュ・アプリケーションおよびサブスクライブ・アプリケーションに対し、応答キューからのメッセージの読み取りを許可します。

JMS クライアントからパブリッシュ/サブスクライブ要求を発行する場合は、追加のセキュリティー・オプションが使用できます。 SSL 認証保護品質、および認証サービスを参照してください。

構成マネージャーのセキュリティーの考慮に進みます。

ユーザー・ネーム・サーバーのセキュリティーの考慮

このタスクは、以下の質問に回答することによって行います。
ブローカー内のトピック・ベースのセキュリティーを使用可能にしていますか ?
  1. いいえ: 構成マネージャーのセキュリティーの考慮に進みます。
  2. はい: ユーザー・ネーム・サーバーが必要です。 ユーザー・ネーム・サーバー・コマンドを実行できるユーザーを決定するに進みます。

ユーザー・ネーム・サーバー・コマンドを実行できるユーザーを決定する

このタスクでは、以下を行うユーザー ID に必要な許可を決定します。
  • ユーザー・ネーム・サーバーの作成、変更、リスト、削除、開始、および停止
  • トレース情報の表示、検索、および変更

以下の質問に回答します。

  1. ユーザー・ネーム・サーバーLinux® または UNIX® オペレーティング・システムにインストールされていますか ?
    1. いいえ: 次の質問に進みます。
    2. 変更の始まりはい: ユーザー ID が mqbrkrs グループのメンバーであることを確認します。

      ユーザー・ネーム・サーバー・サービス ID として使用するユーザー・アカウントを決定するに進みます。

      変更の終わり
  2. Windows® ローカル・アカウントの下でユーザー・ネーム・サーバー・コマンドを実行しますか ?
    1. いいえ: 次の質問に進みます。
    2. はい: 仮にローカル・アカウントが WKSTN1 というコンピューター上にあるとします。ユーザー・ネーム・サーバーを作成する際に、ユーザー ID がローカル・ドメインで定義されていることを確認します。ユーザー・ネーム・サーバー を作成または開始する際に、ユーザー ID が WKSTN1¥Administrators のメンバーであることを確認します。

      ユーザー・ネーム・サーバー・サービス ID として使用するユーザー・アカウントを決定するに進みます。

  3. Windows ドメイン・アカウントの下でユーザー・ネーム・サーバー・コマンドを実行しますか ?
    1. はい: 仮に WKSTN1 というユーザーのコンピューターが DOMAIN1 というドメインのメンバーであるとして、例えば DOMAIN1¥user1 を使用して ユーザー・ネーム・サーバー を作成するのであれば、 DOMAIN1¥user1 が WKSTN1¥Administrators のメンバーであることを確認します。

      ユーザー・ネーム・サーバー・サービス ID として使用するユーザー・アカウントを決定するに進みます。

ユーザー・ネーム・サーバー・サービス ID として使用するユーザー・アカウントを決定する

mqsicreateusernameserver または mqsichangeusernameserver コマンドで -i オプションを指定してサービス ID を設定する場合は、ユーザー・ネーム・サーバー コンポーネント・プロセスの実行に使用するユーザー ID を決める必要があります。

以下の質問に回答します。

  1. ユーザー・ネーム・サーバーLinux または UNIX オペレーティング・システムにインストールされていますか ?
    1. いいえ: 次の質問に進みます。
    2. 変更の始まりはい: ユーザー ID が mqbrkrs グループのメンバーであることを確認します。

      ユーザー・ネーム・サーバーのキューのセキュリティーの設定に進みます。

      変更の終わり
  2. Windows ローカル・アカウントの下でユーザー・ネーム・サーバーを実行しますか ?
    1. いいえ: 次の質問に進みます。
    2. 変更の始まりはい: ユーザー ID が以下の特性を持つことを確認します。
      • ローカル・ドメインに定義されている。
      • mqbrkrs のメンバーである。
      • Windows のローカル・セキュリティー・ポリシーで、「サービスとしてログオン」特権を付与されている。 ローカル・セキュリティー・ポリシーには、「コントロール パネル」>「パフォーマンスとメンテナンス」>「管理ツール」>「ローカル セキュリティ ポリシー」と選択することによってアクセスできます。

      ユーザー・ネーム・サーバーのキューのセキュリティーの設定に進みます。

      変更の終わり
  3. Windows ドメイン・アカウントの下でユーザー・ネーム・サーバーを実行しますか ?
    1. はい: 仮に WKSTN1 というユーザーのコンピューターが DOMAIN1 というドメインのメンバーであるとして、例えば DOMAIN1¥user1 を使用してユーザー・ネーム・サーバーを実行するのであれば、以下のことを確認します。
      • 変更の始まりユーザー ID (user1) に、Windows のローカル・セキュリティー・ポリシーで、「サービスとしてログオン」特権を付与されている。 これには、「コントロール パネル」>「パフォーマンスとメンテナンス」>「管理ツール」>「ローカル セキュリティ ポリシー」と選択することによってアクセスできます。変更の終わり
      • DOMAIN1¥user1 が DOMAIN1¥Domain mqbrkrs のメンバーである。
      • DOMAIN1¥Domain mqbrkrs が WKSTN1¥mqbrkrs のメンバーである。

      ユーザー・ネーム・サーバーのキューのセキュリティーの設定に進みます。

ユーザー・ネーム・サーバーのキューのセキュリティーの設定

mqsicreateusernameserver コマンドを実行すると、mqbrkrs グループは以下のキューへのアクセス権限を取得します。
  • SYSTEM.BROKER.SECURITY.QUEUE
  • SYSTEM.BROKER.MODEL.QUEUE
ブローカーと構成マネージャーだけが、ユーザー・ネーム・サーバーのキューへのアクセスを必要とします。

ドメイン環境でのユーザー・ネーム・サーバーの実行

パブリッシュ・コマンドおよびサブスクライブ・コマンドを実行するユーザーがドメイン・ユーザーである場合、mqsicreateusernameserver コマンドの -d オプションを、これらのユーザーが所属しているドメインに設定する必要があります。 パブリッシュ・コマンドおよびサブスクライブ・コマンドを実行するユーザーは、すべて同じドメインに所属していなければなりません。

特記事項 | 商標 | ダウンロード | ライブラリー | サポート | フィードバック

Copyright IBM Corporation 1999, 2009Copyright IBM Corporation 1999, 2009. All Rights Reserved.
最終更新 : 2009-02-13 10:23:38

ap03983_