Windows 平台的安全性需求

下表概述了 WebSphere Message Broker 管理任务的安全性需求。它说明如果使用在本地系统 SALONE 上定义的本地安全性域、或称为 PRIMARY 的主域、或称为 TRUSTED 的可信域时需要的组成员资格。该表的内容假设您已使用相同的安全性域创建了配置管理器用户名称服务器

用户正在... 本地域(SALONE) 主域(PRIMARY)/Windows 单域(PRIMARY) 可信域(TRUSTED)/Windows 在域树中的父/子域(TRUSTED)
创建代理、配置管理器用户名称服务器或数据库(使用 mqsicreatedb
  • 必须是 SALONE 中定义的用户标识
  • Administrators 的成员
  • 必须是 PRIMARY 中定义的用户标识
  • SALONE\Administrators 的成员
  • 必须是 TRUSTED 中定义的用户标识
  • SALONE\Administrators 的成员
更改代理、配置管理器用户名称服务器DatabaseInstanceMgr
  • 必须是 SALONE 中定义的用户标识
  • Administrators 的成员
  • 必须是 PRIMARY 中定义的用户标识
  • SALONE\Administrators 的成员
  • 必须是 TRUSTED 中定义的用户标识
  • SALONE\Administrators 的成员
删除代理、配置管理器用户名称服务器或数据库(使用mqsideletedb
  • Administrators 的成员
  • SALONE\Administrators 的成员
  • SALONE\Administrators 的成员
启动代理、配置管理器用户名称服务器DatabaseInstanceMgr
  • Administrators 的成员
  • SALONE\Administrators 的成员
  • SALONE\Administrators 的成员
列出代理、配置管理器用户名称服务器DatabaseInstanceMgr
  • 必须是 SALONE 中定义的用户标识
  • 用户标识必须具有查询注册表中 WebSphereMQIntegrator 条目下注册表值的权限。
  • 如果发出命令mqsilist <broker name><execution group name>,则必须是 mqbrkrs 的成员。
  • 必须是 PRIMARY 中定义的用户标识
  • 用户标识必须具有查询注册表中 WebSphereMQIntegrator 条目下注册表值的权限。
  • 如果发出命令mqsilist <broker name><execution group name>,则必须是 PRIMARY\Domain mqbrkrs 的成员。
  • 必须是 TRUSTED 中定义的用户标识
  • 用户标识必须具有查询注册表中 WebSphereMQIntegrator 条目下注册表值的权限。
  • 如果发出命令mqsilist <broker name><execution group name>,则必须是 TRUSTED\Domain mqbrkrs 的成员。
更改、显示及检索跟踪信息
  • 必须是 SALONE 中定义的用户标识
  • mqbrkrs 的成员
  • 必须是 PRIMARY 中定义的用户标识
  • PRIMARY\Domain mqbrkrs 的成员
  • 必须是 TRUSTED 中定义的用户标识
  • TRUSTED\Domain mqbrkrs 的成员
运行用户名称服务器(服务用户标识)
  • 必须是 SALONE 中定义的用户标识
  • mqbrkrs 的成员
  • 必须是 PRIMARY 中定义的用户标识
  • PRIMARY\Domain mqbrkrs 的成员
  • 必须是 TRUSTED 中定义的用户标识
  • TRUSTED\Domain mqbrkrs 的成员
运行DatabaseInstanceMgr(服务用户标识)
  • 必须是 SALONE 中定义的用户标识
  • mqbrkrs 的成员
  • 必须是 PRIMARY 中定义的用户标识
  • PRIMARY\Domain mqbrkrs 的成员
  • 必须是 TRUSTED 中定义的用户标识
  • TRUSTED\Domain mqbrkrs 的成员
运行配置管理器(服务用户标识)
  • 必须是 SALONE 中定义的用户标识
  • mqbrkrs 的成员
  • mqm 的成员
  • Adminstrators 的成员
  • 必须是 PRIMARY 中定义的用户标识
  • PRIMARY\Domain mqbrkrs 的成员
  • SALONE\mqm 的成员(请参阅注 1)
  • SALONE/Adminstrators 的成员
  • 必须是 TRUSTED 中定义的用户标识
  • TRUSTED\Domain mqbrkrs 的成员
  • SALONE\mqm 的成员(请参阅注 2)
  • SALONE/Adminstrators 的成员
运行代理(WebSphere MQ 快速路径关闭)(服务用户标识)
  • 必须是 SALONE 中定义的用户标识
  • mqbrkrs 的成员
  • 必须是 PRIMARY 中定义的用户标识
  • PRIMARY\Domain mqbrkrs 的成员
  • 必须是 TRUSTED 中定义的用户标识
  • TRUSTED\Domain mqbrkrs 的成员
运行代理(WebSphere MQ 快速路径打开)(服务用户标识)
  • 必须是 SALONE 中定义的用户标识
  • mqbrkrs 的成员
  • mqm 的成员
  • 必须是 PRIMARY 中定义的用户标识
  • PRIMARY\Domain mqbrkrs 的成员
  • SALONE\mqm 的成员
  • 必须是 TRUSTED 中定义的用户标识
  • TRUSTED\Domain mqbrkrs 的成员
  • SALONE\mqm 的成员
清除、连接或列出 WebSphere MQ Publish/Subscribe 代理
  • 必须是 SALONE 中定义的用户标识
  • mqbrkrs 的成员
  • 必须是 PRIMARY 中定义的用户标识
  • PRIMARY\Domain mqbrkrs 的成员
  • 必须是 TRUSTED 中定义的用户标识
  • TRUSTED\Domain mqbrkrs 的成员
运行 Message Brokers Toolkit(请参阅注 3)
  • 必须是 SALONE 中定义的用户标识(请参阅注 4)。例如:SALONE\User1 是有效的,而 PRIMARY\User2 和 TRUSTED\User3 是无效的。
  • 在同时启用域感知和禁用域感知的情况下,使用 Message Brokers Toolkit ACL 时,用户标识必须是 SALONE 上创建的任何本地 ACL 组的成员。
  • 在同时启用域感知和禁用域感知的情况下,使用 Message Brokers Toolkit ACL 时,用户标识必须是 SALONE 上创建的任何本地 ACL 组的成员。
运行发布/预订应用程序
  • 必须是 SALONE 中定义的用户标识。例如:SALONE\User1 是有效的,而 PRIMARY\User2 和 TRUSTED\User3 是无效的。
  • 必须是 PRIMARY 中定义的用户标识。例如:PRIMARY\User2 是有效的,而 SALONE\User1 和 TRUSTED\User3 是无效的。
  • 必须是 TRUSTED 中定义的用户标识。例如:TRUSTED\User3 是有效的,而 SALONE\User1 和 PRIMARY\User2 是无效的。
注:
  1. 如果在主域中运行,还可以:
    • 在域 PRIMARY 中定义用户标识。
    • 将该标识添加到 PRIMARY\Domain mqm 组中。
    • PRIMARY\Domain mqm 组添加到 SALONE\mqm 组中。
  2. 如果在可信域中运行,还可以:
    • 在域 TRUSTED 中定义用户标识。
    • 将该标识添加到 TRUSTED\Domain mqm 组中。
    • TRUSTED\Domain mqm 组添加到 SALONE\mqm 组中。
  3. 所有的 Message Brokers Toolkit 用户都需要对 WebSphere MQ 主目录下的 WebSphere MQ java \lib 子目录有读访问权(缺省主目录是 X:\Program Files \WebSphere MQ,其中 X: 是操作系统盘)。WebSphere MQ 将该访问权仅限于本地组 mqm 中的用户。WebSphere Message Broker 安装可越过该限制并给予所有用户对该子目录的读访问权。
  4. 如果在由配置管理器使用的域(例如,PRIMARY\User4)中定义有效的用户标识,则在不同域(例如,DOMAIN2\User4)中定义的同一用户可使用 PRIMARY\User4 的权限访问 Message Brokers Toolkit
  5. 确保服务用户标识具有与产品目录树关联目录的必要访问权,例如,对日志目录的写访问权。如果为任何组件设置了非缺省的工作路径,确保服务用户标识具有对该位置的适当访问权。
  6. 如果您正使用一个用户标识运行配置管理器,同时在另一台计算机上使用不同的用户标识运行代理,则当您尝试为代理部署消息流和消息集时将显示错误消息。若要避免此问题,请进行以下操作:
    • 确保代理的用户标识是 mqm 组和 mqbrkrs 组的成员。
    • 在运行配置管理器的计算机上定义代理的用户标识。
    • 在运行代理的计算机上定义配置管理器的用户标识。
    • 确保所有标识都是小写,从而使它们在计算机间兼容。

Windows 2000 和 Windows XP 的代理安全性更改

更新开始在 Windows 2000 和 Windows XP 上,服务用户标识必须是 mqbrkrs 组的成员,并且是 Administrators 组的可选成员。 作为 Administrators 组的成员,服务用户标识有权访问代理的注册表键,这样它就可以访问代理信息。如果服务用户标识不属于 Administrators 组,您则可编辑 Windows 注册表,这样该服务用户标识就可在没有 Administrators 权限的情况下访问注册表键。更新结束

更新开始要在 Windows 2000 和 Windows XP 上编辑注册表:更新结束

相关概念
访问运行时资源的权限
相关任务
设置代理域安全性
启用基于主题的安全性
相关参考
mqsicreateaclentry 命令
mqsideleteaclentry 命令
mqsilistaclentry 命令
声明 | 商标 | 下载 | 书库 | 支持 | 反馈
Copyright IBM Corporation 1999, 2006 最后一次更新时间:2006/08/14
ap08683_