ランタイム・リソースへのアクセス許可

変更の始まりランタイム・リソースは、実行時にブローカー・ドメインに存在する WebSphere Message Broker オブジェクトです。 ランタイム・オブジェクトごとに、オブジェクトにアクセスできるユーザーとグループを判別するためのアクセス制御リスト (ACL) があります。ユーザーまたはグループが、ワークベンチやコマンド行から、または構成マネージャー・プロキシー (CMP) を使用して、オブジェクトを表示したり、オブジェクトを表示して変更したりする場合、その操作はオブジェクトの ACL 項目に基づいて許可されます。変更の終わり

変更の始まりACL に基づいてオブジェクトに対するユーザーのアクセスが許可または拒否されますが、ACL 項目によってオブジェクトが保護されるわけではありません。つまり、ACL 項目でユーザーの ID を検証することはできません。変更の終わり

変更の始まりACL 項目を使用することによって、ブローカー・ドメイン内の特定のオブジェクトに対するユーザーのアクセスを制御することができます。例えば、JUNGLE¥MPERRY は BROKERA を変更するためにアクセスすることはできても、BROKERB へのアクセス権限がないかもしれません。 さらに別の例として、どちらのグループも BROKERA のメンバーであるのに、同じユーザーが実行グループ EXEGRP1 のデプロイのためにアクセスすることができても、EXEGRP2 にはアクセスできないということがあります。変更の終わり

変更の始まり許可が必要なオブジェクトを表示または変更しようとすると、以下の情報が構成マネージャーに渡されます。 変更の終わり

構成マネージャーは ACL 表を検査します。ユーザー ID が名前付きオブジェクトの ACL 項目に含まれているユーザーは、操作を実行する権限があります。

システム管理者が ACL の制御に使用するツールの詳細については、以下の関連参照情報を参照してください。

変更の始まり

ACL 項目とグループ

以前のバージョンの WebSphere Message Broker では、ランタイム・オブジェクトへのアクセスは、グループのセットを定義してユーザーをグループに割り当てることによって制御していました。ACL 項目による制御では、グループよりも細かくアクセスを制御できます。また、ACL 項目による制御では、各ブローカーへのユーザーのアクセスを別々に構成することにより、開発システム、テスト・システム、実動システムを単一の構成マネージャーで管理できます。グループを使用した場合は、開発システム、テスト・システム、実動システムを別々のブローカー・ドメインに配置し、各ドメインを別々の構成マネージャーで制御する必要があります。

以前のバージョンの WebSphere Message Broker から構成マネージャーをマイグレーションする場合、以下のグループの ACL 項目が自動的に定義されます。
  • mqbrkrs
  • mqbrops
  • mqbrdevt
  • mqbrasgn
  • mqbrtpic
これらの ACL 項目がないと、これらのグループに属するユーザーには、ドメイン内のオブジェクトに対して操作を実行する権限がありません。
変更の終わり
関連概念
セキュリティーの概要
関連タスク
ブローカー・ドメインのセキュリティーのセットアップ
トピック・ベースのセキュリティーの使用可能化
関連資料
管理用タスクでのセキュリティーの要件
mqsicreateaclentry コマンド
mqsideleteaclentry コマンド
mqsilistaclentry コマンド
ACL 許可
特記事項 | 商標 | ダウンロード | ライブラリー | サポート | フィードバック
Copyright IBM Corporation 1999, 2006 最終更新: 08/21/2006
ap01360_