Considerando a Segurança para um Intermediário

Vários fatores devem ser considerados quando você está decidindo quais usuários podem executar comandos do intermediário e quais usuários podem controlar a segurança para outros recursos do intermediário.

Quando você está decidindo quais usuários devem desempenhar as diferentes tarefas, considere as seguintes etapas:

  1. Decidindo quais Contas de Usuário podem Processar Comandos do Intermediário
  2. Decidindo Qual Conta de Usuário Utilizar para o ID de Serviço do Intermediário
  3. Definindo a Segurança nas Filas do Intermediário
  4. Ativando Segurança Baseada em Tópico no Intermediário

Decidindo quais Contas de Usuário podem Processar Comandos do Intermediário

Decida quais permissões são necessárias para os IDs do usuário que:
  • Criam, alteram, listam, excluem, iniciam e param intermediários
  • Exibir, recuperar e alterar informações de rastreio.

Responda as seguintes perguntas:

  1. O seu intermediário está instalado em um sistema operacional Linux ou UNIX?
    1. Não: Vá para a próxima pergunta.
    2. Início da mudançaSim: Assegure que seu ID do usuário tenha as seguintes características:
      • Ele é um membro do grupo mqbrkrs
      • Se ele for utilizado para criar ou excluir um intermediário, deverá ser um membro do grupo mqm.

      Vá para Decidindo Qual Conta de Usuário Utilizar para o ID de Serviço do Intermediário.

      Fim da mudança
  2. Início da mudançaVocê está processando comandos do intermediário em uma conta local do Windows?
    1. Não: Vá para a próxima pergunta.
    2. Sim: Suponha que sua conta local esteja em um computador chamado, por exemplo, WKSTN1.
      Assegure que seu ID de usuário tenha as seguinte características:
      • Ele é um membro do grupo mqbrkrs.
      • Se ele for utilizado para criar um intermediário, o ID do usuário deverá ser definido em seu domínio local.
      • Se ele for utilizado para criar ou iniciar um intermediário, o ID do usuário deverá ser um membro do grupo Administradores (por exemplo, WKSTN1\Administrators).
      • Se ele for utilizado para criar ou excluir um intermediário, o ID do usuário deverá ser um membro do grupo mqm.

      Vá para Decidindo Qual Conta de Usuário Utilizar para o ID de Serviço do Intermediário.

    Fim da mudança
  3. Você está processando comandos do intermediário em uma conta do domínio do Windows?
    1. Início da mudançaSim: Suponha que seu computador chamado, por exemplo, WKSTN1, é um membro de um domínio chamado DOMAIN1.
      Assegure que o ID do usuário possua as seguintes características:
      • Ele é um membro do grupo mqbrkrs.
      • Se ele for utilizado para criar um intermediário, o ID do usuário deverá ser definido em seu domínio local.
      • Se ele for utilizado para criar ou iniciar um intermediário, o ID do usuário deverá ser um membro do grupo Administradores. Por exemplo, se você criar um intermediário utilizando DOMAIN1\user1, assegure que DOMAIN1\user1 seja um membro de WKSTN1\Administrators.
      • Se ele for utilizado para criar ou excluir um intermediário, o ID do usuário deverá ser um membro do grupo mqm.

      Vá para Decidindo Qual Conta de Usuário Utilizar para o ID de Serviço do Intermediário.

      Fim da mudança

Decidindo Qual Conta de Usuário Utilizar para o ID de Serviço do Intermediário

Início da mudançaQuando você executar o comando mqsistart com um ID do usuário que seja um membro dos grupos mqm e mqbrkrs groups, o ID do usuário sob o qual você executa o comando mqsistart se torna o ID do usuário sob o qual o processo do componente do intermediário será executado.Fim da mudança

Responda as seguintes perguntas:

  1. O seu intermediário está instalado em um sistema operacional Linux ou UNIX?
    1. Não: Vá para a próxima pergunta.
    2. Início da mudançaSim: Assegure que o ID do usuário seja um membro do grupo mqbrkrs.

      Vá para Definindo a Segurança nas Filas do Intermediário.

      Fim da mudança
  2. Há algum intermediário existente sendo executado neste sistema Windows?
    1. Não: Você pode escolher um ID de serviço para o intermediário. Vá para a próxima pergunta.
    2. Sim: Na plataforma Windows, todos os intermediários devem ser executados com o mesmo ID de serviço. Utilize o ID de serviço existente ao criar o novo intermediário.
  3. Deseja que seu intermediário seja executado em uma conta local do Windows?
    1. Não: Vá para a próxima pergunta.
    2. Início da mudançaSim: Assegure que seu ID do usuário tenha as seguintes características:
      • Esteja definido em seu domínio local.
      • Ele é um membro do grupo mqbrkrs.
      • Ele recebeu o privilégio Efetuar Logon como um Serviço na Política de Segurança Local no Windows, que você pode acessar selecionando Painel de Controle > Desempenho e Manutenção > Ferramentas Administrativas > Política de Segurança Local.

      Vá para Definindo a Segurança nas Filas do Intermediário.

      Fim da mudança
  4. Deseja que seu intermediário seja executado em uma conta de domínio do Windows?
    1. Sim: Suponha que seu computador chamado, por exemplo, WKSTN1, é um membro de um domínio chamado DOMAIN1. Quando você executar um intermediário utilizando, por exemplo, DOMAIN1\user1, assegure-se quet:
      • Início da mudançaSeu ID do usuário tenha recebido o privilégio Efetuar Logon como um Serviço (da Política de Segurança Local)Fim da mudança
      • DOMAIN1\user1 é um membro de DOMAIN1\Domain mqbrkrs.
      • DOMAIN1\Domain mqbrkrs é um membro de WKSTN1\mqbrkrs.
      • O ID do usuário tenha recebido o privilégio Efetuar Logon como um Serviço na Política de Segurança Local no Windows, que você pode acessar selecionando Painel de Controle > Desempenho e Manutenção > Ferramentas Administrativas > Política de Segurança Local.

      Vá para Definindo a Segurança nas Filas do Intermediário.

Início da mudança

Definindo a Segurança nas Filas do Intermediário

Quando você executar o comando mqsicreatebroker, o grupo mqbrkrs local receberá acesso às filas internas cujos nomes comecem com os caracteres SYSTEM.BROKER. Não altere esta ACL porque ela é necessária para que o intermediário funcione corretamente.

O Configuration Manager que controla o intermediário coloca mensagens em SYSTEM.BROKER.ADMIN.QUEUE. Se o seu Configuration Manager estiver no mesmo computador que seu intermediário, seu ID de serviço estará no grupo mqbrkrs, portanto, não será necessário tomar nenhuma outra atitude. Se Configuration Manager estiver em um computador diferente, assegure que seu ID de serviço esteja definido no computador que está executando o intermediário e assegure que ele tenha acesso ao WebSphere MQ para colocar mensagens em SYSTEM.BROKER.ADMIN.QUEUE.

Se você utilizar conjuntos para publicação/assinatura, outros intermediários em seu domínio deverão colocar mensagens em SYSTEM.BROKER.INTERBROKER.QUEUE. Portanto, seus IDs de serviço exigem autoridade para colocar mensagens naquela fila.

Fim da mudança

Ativando Segurança Baseada em Tópico no Intermediário

Execute essa tarefa respondendo à seguintes pergunta:

Deseja ativar segurança baseada em tópico no intermediário?
  1. Sim: Vá para Ativando a Segurança Baseada em Tópicos.
  2. Não: Vá para Considerando a segurança para um Configuration Manager.
Avisos | Marcas Registradas | Downloads | Biblioteca | Suporte | Feedback

Copyright IBM Corporation 1999, 2009Copyright IBM Corporation 1999, 2009. Todos os Direitos Reservados.
Última atualização : 2009-02-13 15:33:44

ap03982_