Windows 플랫폼의 보안 요구사항

다음 표에서는 WebSphere Message Broker 관리 작업에 필요한 보안 요구사항을 요약하여 보여줍니다. 로컬 시스템 SALONE에 정의된 로컬 보안 도메인, PRIMARY라는 1차 도메인 또는 TRUSTED라는 트러스트 도메인을 사용하는 경우 필요한 그룹 멤버쉽에 대해 설명합니다. 이 표의 내용은 구성 관리자사용자 이름 서버를 같은 보안 도메인으로 작성했다고 가정합니다.

사용자 수행 작업 로컬 도메인(SALONE) 1차 도메인(PRIMARY) / Windows 단일 도메인(PRIMARY) 트러스트 도메인(TRUSTED) / Windows 도메인 트리의 상위/하위 도메인(TRUSTED)
브로커, 구성 관리자, 사용자 이름 서버, 또는 데이터베이스 작성(mqsicreatedb 사용)
  • SALONE에 정의된 사용자 ID여야 합니다.
  • Administrator 구성원
  • PRIMARY에 정의된 사용자 ID여야 합니다.
  • SALONE\Administrator 구성원
  • TRUSTED에 정의된 사용자 ID여야 합니다.
  • SALONE\Administrator 구성원
브로커, 구성 관리자, 사용자 이름 서버DatabaseInstanceMgr 변경
  • SALONE에 정의된 사용자 ID여야 합니다.
  • Administrator 구성원
  • PRIMARY에 정의된 사용자 ID여야 합니다.
  • SALONE\Administrator 구성원
  • TRUSTED에 정의된 사용자 ID여야 합니다.
  • SALONE\Administrator 구성원
브로커, 구성 관리자, 사용자 이름 서버, 또는 데이터베이스 작성(mqsideletedb 사용)
  • Administrator 구성원
  • SALONE\Administrator의 구성원
  • SALONE\Administrator 구성원
브로커, 구성 관리자, 사용자 이름 서버, 또는 DatabaseInstanceMgr 시작
  • Administrator 구성원
  • SALONE\Administrator 구성원
  • SALONE\Administrator 구성원
브로커, 구성 관리자, 사용자 이름 서버, 또는 DatabaseInstanceMgr 나열
  • SALONE에 정의된 사용자 ID여야 합니다.
  • 사용자 ID는 레지스트리의 WebSphereMQIntegrator 입력 항목에서 레지스트리 값을 조회하는 권한이 있어야 합니다.
  • 명령을 발행하는 경우 mqbrkrs의 구성원: mqsilist <broker name><execution group name>.
  • PRIMARY에 정의된 사용자 ID여야 합니다.
  • 사용자 ID는 레지스트리의 WebSphereMQIntegrator 입력 항목에서 레지스트리 값을 조회하는 권한이 있어야 합니다.
  • 명령을 실행하는 경우 PRIMARY\Domain mqbrkrs의 구성원. mqsilist <broker name><execution group name>.
  • TRUSTED에 정의된 사용자 ID여야 합니다.
  • 사용자 ID는 레지스트리의 WebSphereMQIntegrator 입력 항목에서 레지스트리 값을 조회하는 권한이 있어야 합니다.
  • 명령을 실행하는 경우 TRUSTED\Domain mqbrkrs의 구성원. mqsilist <broker name><execution group name>.
추적 정보 변경, 표시, 검색
  • SALONE에 정의된 사용자 ID여야 합니다.
  • mqbrkrs의 구성원
  • PRIMARY에 정의된 사용자 ID여야 합니다.
  • PRIMARY\Domain mqbrkrs의 구성원
  • TRUSTED에 정의된 사용자 ID여야 합니다.
  • TRUSTED\Domain mqbrkrs의 구성원
사용자 이름 서버(서비스 사용자 ID) 실행
  • SALONE에 정의된 사용자 ID여야 합니다.
  • mqbrkrs의 구성원
  • PRIMARY에 정의된 사용자 ID여야 합니다.
  • PRIMARY\Domain mqbrkrs 의 구성원
  • TRUSTED에 정의된 사용자 ID여야 합니다.
  • TRUSTED\Domain mqbrkrs의 구성원
DatabaseInstanceMgr(서비스 사용자 ID) 실행
  • SALONE에 정의된 사용자 ID여야 합니다.
  • mqbrkrs의 구성원
  • PRIMARY에 정의된 사용자 ID여야 합니다.
  • PRIMARY\Domain mqbrkrs의 구성원
  • TRUSTED에 정의된 사용자 ID여야 합니다.
  • TRUSTED\Domain mqbrkrs의 구성원
구성 관리자(서비스 사용자 ID) 실행
  • SALONE에 정의된 사용자 ID여야 합니다.
  • mqbrkrs의 구성원
  • mqm 의 구성원
  • Adminstrators의 구성원
  • PRIMARY에 정의된 사용자 ID여야 합니다.
  • PRIMARY\Domain mqbrkrs의 구성원
  • SALONE\mqm 의 구성원(주 1 참조)
  • SALONE/Adminstrators의 구성원
  • TRUSTED에 정의된 사용자 ID여야 합니다.
  • TRUSTED\Domain mqbrkrs의 구성원
  • SALONE\mqm 의 구성원(주 2 참조)
  • SALONE/Adminstrators의 구성원
브로커 실행(WebSphere MQ 빠른 경로 해제)(서비스 사용자 ID)
  • SALONE에 정의된 사용자 ID여야 합니다.
  • mqbrkrs의 구성원
  • PRIMARY에 정의된 사용자 ID여야 합니다.
  • PRIMARY\Domain mqbrkrs의 구성원
  • TRUSTED에 정의된 사용자 ID여야 합니다.
  • TRUSTED\Domain mqbrkrs의 구성원
브로커 실행(WebSphere MQ 빠른 경로 설정)(서비스 사용자 ID)
  • SALONE에 정의된 사용자 ID여야 합니다.
  • mqbrkrs의 구성원
  • mqm 의 구성원
  • PRIMARY에 정의된 사용자 ID여야 합니다.
  • PRIMARY\Domain mqbrkrs 의 구성원
  • SALONE\mqm의 구성원
  • TRUSTED에 정의된 사용자 ID여야 합니다.
  • TRUSTED\Domain mqbrkrs의 구성원
  • SALONE\mqm의 구성원
WebSphere MQ Publish/Subscribe 브로커 지우기, 조인 또는 나열
  • SALONE에 정의된 사용자 ID여야 합니다.
  • mqbrkrs의 구성원
  • PRIMARY에 정의된 사용자 ID여야 합니다.
  • PRIMARY\Domain mqbrkrs의 구성원
  • TRUSTED에 정의된 사용자 ID여야 합니다.
  • TRUSTED\Domain mqbrkrs의 구성원
Message Brokers Toolkit 실행(주 3 참조)
  • SALONE에 정의된 사용자 ID여야 합니다(주 4 참조). 예를 들면, SALONE\User1은 올바르고 PRIMARY\User2 및 TRUSTED\User3은 올바르지 않습니다.
  • 도메인 인식 사용 여부와 무관하게, Message Brokers Toolkit ACL이 사용될 경우에는 사용자 ID가 SALONE에 작성된 로컬 ACL 그룹의 구성원이어야 합니다.
  • 도메인 인식 사용 여부와 무관하게, Message Brokers Toolkit ACL이 사용될 경우에는 사용자 ID가 SALONE에 작성된 로컬 ACL 그룹의 구성원이어야 합니다.
publish/subscribe 응용프로그램 실행
  • SALONE에 정의된 사용자 ID이어야 합니다. 예를 들면, SALONE\User1은 올바르고 PRIMARY\User2 및 TRUSTED\User3은 올바르지 않습니다.
  • PRIMARY에 정의된 사용자 ID이어야 합니다. 예를 들면, PRIMARY\User2은 올바르고 SALONE\User1 및 TRUSTED\User3은 올바르지 않습니다.
  • TRUSTED에 정의된 사용자 ID이어야 합니다. 예를 들면, TRUSTED\User3은 올바르고 SALONE\User1 및 PRIMARY\User2는 올바르지 않습니다.
주:
  1. 1차 도메인에서 실행 중인 경우, 다음 작업도 수행할 수 있습니다.
    • PRIMARY 도메인에 사용자 ID 정의
    • PRIMARY\Domain mqm 그룹에 이 ID 추가
    • PRIMARY\Domain mqm 그룹을 SALONE\mqm 그룹에 추가할 수 있습니다.
  2. 트러스트 도메인에서 실행 중인 경우, 다음 작업도 수행할 수 있습니다.
    • TRUSTED 도메인에 사용자 ID 정의
    • TRUSTED\Domain mqm 그룹에 이 ID 추가
    • TRUSTED\Domain mqm 그룹을 SALONE\mqm 그룹에 추가할 수 있습니다.
  3. 모든 Message Brokers Toolkit 사용자는 WebSphere MQ 홈 디렉토리의 WebSphere MQ java \lib 서브디렉토리에 대한 읽기 액세스가 필요합니다. (디폴트는 X:\Program Files \WebSphere MQ이고 여기서 X:는 운영 체제 디스크입니다.) 이 액세스는 WebSphere MQ에 의해 로컬 그룹 mqm의 사용자로 제한됩니다. WebSphere Message Broker 설치는 이 제한을 대체하여 모든 사용자에게 이 서브디렉토리에 대한 읽기 액세스를 부여합니다.
  4. 구성 관리자가 사용하는 도메인에 올바른 사용자 ID가 정의된 경우(예를 들면, PRIMARY\User4), 다른 도메인에 정의된 동일한 사용자(예를 들면, DOMAIN2\User4)가 PRIMARY\User4 권한으로 Message Brokers Toolkit에 액세스할 수 있습니다.
  5. 서비스 사용자 ID에 제품 디렉토리 트리의 대응 디렉토리에 대해 필요한 액세스가 있는지 확인하십시오. 예를 들면, logs 디렉토리에 대한 쓰기 액세스가 있는지 확인하십시오. 디폴트가 아닌 작업 경로가 구성요소에 대해 설정되었으면, 서비스 사용자 ID가 이 위치에 대해 적절한 액세스를 가지고 있는지 확인하십시오.
  6. 하나의 사용자 ID를 사용하여 구성 관리자를 실행하며 다른 컴퓨터에서 다른 사용자 ID를 사용하여 브로커를 실행하는 경우 메시지 플로우 및 메시지 세트를 브로커에 전개하려고 할 때 오류 메시지가 표시될 수도 있습니다. 이를 방지하려면, 다음을 수행하십시오.
    • 브로커의 사용자 ID가 mqmmqbrkrs 그룹의 구성원인지 확인하십시오.
    • 구성 관리자가 실행 중인 컴퓨터에 브로커의 사용자 ID를 정의하십시오.
    • 브로커가 실행 중인 컴퓨터에 구성 관리자의 사용자 ID를 정의하십시오.
    • 컴퓨터들 간에 호환 가능하도록 모든 ID가 소문자인지 확인하십시오.

Windows 2000 및 Windows XP의 브로커 보안 변경

변경 시작Windows 2000 및 Windows XP에서, 서비스 사용자 ID는 mqbrkrs 그룹의 구성원이어야 하며, 선택적으로 Administrators 그룹의 구성원이어야 합니다. Administrators 그룹의 구성원으로서 서비스 사용자 ID는 브로커 정보에 액세스할 수 있도록 브로커의 리지스트리 키에 액세스하는 권한이 있어야 합니다. 서비스 사용자 ID가 Administrators 그룹에 속하지 않는 경우 Administrators 권한 없이도 서비스 사용자 ID가 레지스트리 키에 액세스할 수 있도록 Windows 레지스트리를 편집할 수 있습니다. 변경 끝

변경 시작Windows 2000 및 Windows XP에서 리지스트리를 편집하려면 다음을 수행하십시오.변경 끝

관련 개념
런타임 자원에 액세스 권한 부여
관련 태스크
브로커 도메인 보안 설정
토픽 기반 보안 사용
관련 참조
mqsicreateaclentry 명령
mqsideleteaclentry 명령
mqsilistaclentry 명령
주의사항 | 등록상표 | 다운로드 | 라이브러리 | 지원 | 피드백
Copyright IBM Corporation 1999, 2006 마지막 갱신 날짜: 2006/08/21
ap08683_