Requisitos de Segurança para Plataformas Windows

A tabela a seguir resume os requisitos de segurança para as tarefas administrativas do WebSphere Message Broker. Ela ilustra de que grupos é necessário ser membro se você estiver utilizando um domínio de segurança local definido no sistema local SALONE, ou em um domínio principal denominado PRIMARY ou em um domínio confiável denominado TRUSTED. O conteúdo desta tabela supõe que você tenha criado o Configuration Manager e o Servidor de Nome de Usuário com o mesmo domínio de segurança.

Usuário Está... Domínio Local (SALONE) Domínio Primário (PRIMARY) / Domínio Único do Windows (PRIMARY) Domínio Confiável (TRUSTED) / Domínio Pai/Filho do Windows na árvore de domínios (TRUSTED)
Criando um intermediário, Configuration Manager, Servidor de Nome de Usuário ou banco de dados (com mqsicreatedb)
  • Deve ser um ID do usuário definido em SALONE
  • Membro de Administradores
  • Deve ser um ID do usuário definido em PRIMARY
  • Membro de SALONE\Administrators
  • Deve ser um ID do usuário definido em TRUSTED
  • Membro de SALONE\Administrators
Alterando um intermediário, Configuration Manager, Servidor de Nome de Usuário, DatabaseInstanceMgr
  • Deve ser um ID do usuário definido em SALONE
  • Membro de Administradores
  • Deve ser um ID do usuário definido em PRIMARY
  • Membro de SALONE\Administrators
  • Deve ser um ID do usuário definido em TRUSTED
  • Membro de SALONE\Administrators
Excluindo um intermediário, Configuration Manager, Servidor de Nome de Usuário ou banco de dados (com mqsideletedb)
  • Membro de Administradores
  • Membro de SALONE\Administrators
  • Membro de SALONE\Administrators
Iniciando um intermediário, Configuration Manager, Servidor de Nome de Usuárioou DatabaseInstanceMgr
  • Membro de Administradores
  • Membro de SALONE\Administrators
  • Membro de SALONE\Administrators
Listando um intermediário, Configuration Manager, Servidor de Nome de Usuário ou DatabaseInstanceMgr
  • Deve ser um ID do usuário definido em SALONE
  • O ID do usuário deve ter autoridade para consultar os valores de registro na entrada WebSphereMQIntegrator no registro.
  • Membro de mqbrkrs se estiver emitindo o comando: mqsilist <nome_do_intermediário><nome_do_grupo_de_execução>.
  • Deve ser um ID do usuário definido em PRIMARY
  • O ID do usuário deve ter autoridade para consultar os valores de registro na entrada WebSphereMQIntegrator no registro.
  • Membro de PRIMARY\Domínio mqbrkrs se estiver emitindo o comando: mqsilist <nome_do_intermediário><nome_do_grupo_de_execução>.
  • Deve ser um ID do usuário definido em TRUSTED
  • O ID do usuário deve ter autoridade para consultar os valores de registro na entrada WebSphereMQIntegrator no registro.
  • Membro de TRUSTED\Domínio mqbrkrs se estiver emitindo o comando: mqsilist <nome_do_intermediário><nome_do_grupo_de_execução>.
Alterando, exibindo, recuperando informações de rastreio
  • Deve ser um ID do usuário definido em SALONE
  • Membro de mqbrkrs
  • Deve ser um ID do usuário definido em PRIMARY
  • Membro de PRIMARY\Domain mqbrkrs
  • Deve ser um ID do usuário definido em TRUSTED
  • Membro de TRUSTED\Domain mqbrkrs
Executando um Servidor de Nome de Usuário (ID do usuário de serviço)
  • Deve ser um ID do usuário definido em SALONE
  • Membro de mqbrkrs
  • Deve ser um ID do usuário definido em PRIMARY
  • Membro de PRIMARY\Domain mqbrkrs
  • Deve ser um ID do usuário definido em TRUSTED
  • Membro de TRUSTED\Domain mqbrkrs
Executando um DatabaseInstanceMgr (ID do usuário de serviço)
  • Deve ser um ID do usuário definido em SALONE
  • Membro de mqbrkrs
  • Deve ser um ID do usuário definido em PRIMARY
  • Membro de PRIMARY\Domain mqbrkrs
  • Deve ser um ID do usuário definido em TRUSTED
  • Membro de TRUSTED\Domain mqbrkrs
Executando um Configuration Manager (ID do usuário de serviço)
  • Deve ser um ID do usuário definido em SALONE
  • Membro de mqbrkrs
  • Membro de mqm
  • Membro de Adminstrators
  • Deve ser um ID do usuário definido em PRIMARY
  • Membro de PRIMARY\Domain mqbrkrs
  • Membro de SALONE\mqm (consulte a nota 1)
  • Membro de SALONE/Adminstrators
  • Deve ser um ID do usuário definido em TRUSTED
  • Membro de TRUSTED\Domain mqbrkrs
  • Membro de SALONE\mqm (consulte a nota 2)
  • Membro de SALONE/Adminstrators
Executando um (atalho WebSphere MQ desativado) (ID do usuário de serviço)
  • Deve ser um ID do usuário definido em SALONE
  • Membro de mqbrkrs
  • Deve ser um ID do usuário definido em PRIMARY
  • Membro de PRIMARY\Domain mqbrkrs
  • Deve ser um ID do usuário definido em TRUSTED
  • Membro de TRUSTED\Domain mqbrkrs
Executando um intermediário (atalho WebSphere MQ ativado) (ID do usuário de serviço)
  • Deve ser um ID do usuário definido em SALONE
  • Membro de mqbrkrs
  • Membro de mqm
  • Deve ser um ID do usuário definido em PRIMARY
  • Membro de PRIMARY\Domain mqbrkrs
  • Membro de SALONE\mqm
  • Deve ser um ID do usuário definido em TRUSTED
  • Membro de TRUSTED\Domain mqbrkrs
  • Membro de SALONE\mqm
Limpando, unindo ou listando intermediários de Publicação/Assinatura do WebSphere MQ
  • Deve ser um ID do usuário definido em SALONE
  • Membro de mqbrkrs
  • Deve ser um ID do usuário definido em PRIMARY
  • Membro de PRIMARY\Domain mqbrkrs
  • Deve ser um ID do usuário definido em TRUSTED
  • Membro de TRUSTED\Domain mqbrkrs
Executando um Message Brokers Toolkit (consulte a nota 3)
  • Deve ser um ID do usuário definido em SALONE (veja a nota 4). Por exemplo, SALONE\User1 é válido, PRIMARY\User2 e TRUSTED\User3 não são.
  • Para o reconhecimento de domínio ativado e o reconhecimento de domínio desativado, ao utilizar as ACLs do Message Brokers Toolkit, os IDs do usuário devem ser membros de quaisquer grupos de ACL locais criados no SALONE.
  • Para o reconhecimento de domínio ativado e o reconhecimento de domínio desativado, ao utilizar as ACLs do Message Brokers Toolkit, os IDs do usuário devem ser membros de quaisquer grupos de ACL locais criados no SALONE.
Executando Aplicativos do Publicação/Assinatura
  • Deve ser um ID do usuário definido em SALONE. Por exemplo, SALONE\User1 é válido, PRIMARY\User2 e TRUSTED\User3 não são.
  • Deve ser um ID do usuário definido em PRIMARY. Por exemplo, PRIMARY\User2 é válido, SALONE\User1 e TRUSTED\User3 não são.
  • Deve ser um ID do usuário definido em TRUSTED. Por exemplo, TRUSTED\User3 é válido, SALONE\User1 e PRIMARY\User2 não são.
Notas:
  1. Se estiver executando em um domínio primário, você também pode:
    • Definir o ID do usuário no domínio PRIMARY.
    • Incluir esse ID ao grupo PRIMARY\Domain mqm.
    • Incluir o grupo PRIMARY\Domain mqm ao grupo SALONE\mqm .
  2. Se estiver executando em um domínio confiável, você também pode:
    • Definir o ID do usuário no domínio TRUSTED.
    • Incluir esse ID ao grupo TRUSTED\Domain mqm.
    • Incluir o grupo TRUSTED\Domain mqm ao grupo SALONE\mqm .
  3. Todos os usuários do Message Brokers Toolkit necessitam de acesso de leitura ao subdiretório WebSphere MQ java \lib do diretório pessoal WebSphere MQ (o padrão é X:\Arquivos de Programas\WebSphere MQ, em que X: é o disco do sistema operacional). Esse acesso é restringido a usuários no grupo local mqm pelo WebSphere MQ. A instalação do WebSphere Message Broker substitui esta restrição e dá acesso de leitura para este subdiretório a todos os usuários.
  4. Se um ID do usuário válido for definido no domínio utilizado pelo Configuration Manager (por exemplo, PRIMARY\User4), um usuário idêntico definido em um domínio diferente (por exemplo, DOMAIN2\User4) poderá acessar o Message Brokers Toolkit com as autoridades de PRIMARY\User4.
  5. Assegure-se de que o ID do usuário de serviço tenha o acesso requerido para diretórios pertinentes da árvore de diretórios do produto; por exemplo, acesso de gravação ao diretório de registros. Se um caminho de trabalho diferente do padrão tiver sido definido para qualquer componente, assegure-se de que o ID do usuário de serviço tenha acesso adequado a esse local.
  6. Se estiver executando um Configuration Manager com um ID do usuário e um intermediário com um ID do usuário diferente em outro computador, é possível consultar uma mensagem de erro ao tentar implementar fluxos de mensagens e conjuntos de mensagens ao intermediário. Para evitar isso, faça o seguinte:
    • Certifique-se de que o ID de usuário do intermediário seja um membro dos grupos mqm e mqbrkrs.
    • Defina o ID do usuário do intermediário no computador em que o Configuration Manager está sendo executado.
    • Defina o ID do usuário do Configuration Manager no computador no qual o intermediário está em execução.
    • Certifique-se de que todos os IDs estão em letra minúscula para que sejam compatíveis entre os computadores.

Alterações da Segurança do Intermediário com o Windows 2000 e o Windows XP

Início da mudançaNo Windows 2000 e no Windows XP, to ID do usuário de serviço deve ser um membro do grupo mqbrkrs e, como opção, um membro do grupo Administradores. Como membro do grupo Administradores, o ID do usuário de serviço tem permissão para acessar as chaves de registro do intermediário de forma que possa acessar informações do intermediário. Se o ID do usuário de serviço não pertencer ao grupo Administradores, é possível editar o registro do Windows de forma que o ID do usuário de serviço possa acessar as chaves de registro sem ter permissões de Administradores. Fim da mudança

Início da mudançaPara editar o registro no Windows 2000 e no Windows XP:Fim da mudança

Conceitos relacionados
Autorização para Acessar os Recursos do Tempo de Execução
Tarefas relacionadas
Configurando a Segurança no Domínio do Intermediário
Ativando a Segurança Baseada em Tópicos
Referências relacionadas
Comando mqsicreateaclentry
Comando mqsideleteaclentry
Comando mqsilistaclentry
Avisos | Marcas Registradas | Downloads | Biblioteca | Suporte | Feedback
Direitos Autorais IBM Corporation 1999, 2006 Última Atualização: 1 Sep 2006
ap08683_