确保配置所需 WebSphere MQ 资源的安全性。
本部分不适用于 z/OS。
WebSphere Message Broker 的成功操作取决于大量的 WebSphere MQ 资源。必须控制对这些资源的访问来确保产品组件可以访问它们所依赖的资源,并确保对这些资源进行保护,使之不受其他用户破坏。
命令发出时代表您授予了某些权限。其他权限取决于代理域的配置。
- 当您发出 mqsicreatebroker 命令时,该命令代表您授予组 mqbrkrs 以下队列的 put 和 get 权限:
- SYSTEM.BROKER.ADMIN.QUEUE
- SYSTEM.BROKER.CONTROL.QUEUE
- SYSTEM.BROKER.EXECUTIONGROUP.QUEUE
- SYSTEM.BROKER.EXECUTIONGROUP.REPLY
- SYSTEM.BROKER.INTERBROKER.QUEUE
- SYSTEM.BROKER.MODEL.QUEUE
- 当您发出 mqsicreateconfigmgr 命令时,该命令代表您授予组 mqbrkrs 以下队列的 put 和 get 权限:
- SYSTEM.BROKER.CONFIG.QUEUE
- SYSTEM.BROKER.CONFIG.REPLY
- SYSTEM.BROKER.ADMIN.REPLY
- SYSTEM.BROKER.SECURITY.REPLY
- SYSTEM.BROKER.MODEL.QUEUE
- 当您发出 mqsicreateusernameserver 命令时,该命令代表您授予组 mqbrkrs 以下队列的 put 和 get 权限:
- SYSTEM.BROKER.SECURITY.QUEUE
- SYSTEM.BROKER.MODEL.QUEUE
- 当您发出 mqsicreateaclentry 命令时,该命令代表您对已经指定了 -p 或 -u 命令参数的资源或用户授予以下队列的 put 和 get 权限:
- SYSTEM.BROKER.CONFIG.QUEUE
- SYSTEM.BROKER.CONFIG.REPLY
- 如果您已经创建了要在不同的队列管理器上运行的 WebSphere Message Broker 组件,则必须将定义用来处理队列管理器之间消息流量的传输队列的 put 和 setall 权限授予本地 mqbrkrs 组,或授予在其上定义该传输队列的队列管理器所支持组件的服务用户标识。
- 启动工作台时,它将使用 WebSphere MQ 客户机/服务器连接,连接到配置管理器。有关 WebSphere MQ 通道安全性的详细信息,请参阅《WebSphere MQ 客户机》一书中的“设置 WebSphere MQ 客户机安全性”。
- 创建和部署消息流时,请进行以下授权:
- 对代理的 ServiceUserID 授予 MQInput 节点中所标识的每个输入队列的 get 和 inq 权限。
- 对代理的 ServiceUserID 授予 MQOutput 节点中或由 MQReply 节点标识的每个输出队列的 get 和 inq 权限。
- 将 MQOutput 节点或 MQReply 节点中所标识的每个输出队列的 get 权限授予运行接收或预订客户机应用程序的用户标识。
- 将 MQInput 节点中所标识的每个输入队列的 put 权限授予运行发送或发布客户机应用程序的用户标识。