Requisiti di sicurezza per le piattaforme Windows

Nella tabella riportata di seguito sono riassunti i requisiti di sicurezza relativi alle attività di gestione di WebSphere Message Broker. Viene indicato a quale gruppo si deve appartenere se si sta utilizzando un dominio di sicurezza locale definito sul sistema locale SALONE in uso oppure un dominio primario denominato PRIMARY o un dominio sicuro denominato TRUSTED. Quanto contenuto in questa tabella presume che sia Gestione configurazione che il Server nomi utente siano stati creati con lo stesso dominio di sicurezza.

Attività utente... Dominio locale (SALONE) Dominio primario (PRIMARY) / Windows Dominio singolo (PRIMARY) Dominio sicuro (TRUSTED) / Dominio parent/child Windows nella struttura ad albero del dominio (TRUSTED)
Creazione di un broker, Gestione configurazione, Server nomi utente o database (con mqsicreatedb)
  • Deve essere un ID utente definito in SALONE
  • Membro di Administrators
  • Deve essere un ID utente definito in PRIMARY
  • Membro di SALONE\Administrators
  • Deve essere un ID utente definito in TRUSTED
  • Membro di SALONE\Administrators
Modifica di un broker, Gestione configurazione, Server nomi utente, DatabaseInstanceMgr
  • Deve essere un ID utente definito in SALONE
  • Membro di Administrators
  • Deve essere un ID utente definito in PRIMARY
  • Membro di SALONE\Administrators
  • Deve essere un ID utente definito in TRUSTED
  • Membro di SALONE\Administrators
Eliminazione di un broker, Gestione configurazione, Server nomi utente o database (con mqsideletedb)
  • Membro di Administrators
  • Membro di SALONE\Administrators
  • Membro di SALONE\Administrators
Avvio di un broker, Gestione configurazione, Server nomi utente o DatabaseInstanceMgr
  • Membro di Administrators
  • Membro di SALONE\Administrators
  • Membro di SALONE\Administrators
Creazione di un elenco di un broker, Gestione configurazione, Server nomi utente o DatabaseInstanceMgr
  • Deve essere un ID utente definito in SALONE
  • L'ID utente deve avere l'autorizzazione ad interrogare i valori della voce WebSphereMQIntegrator nel registro.
  • Membro di mqbrkrs se viene immesso il comando: mqsilist <nome broker><nome gruppo esecuzione>.
  • Deve essere un ID utente definito in PRIMARY
  • L'ID utente deve avere l'autorizzazione ad interrogare i valori della voce WebSphereMQIntegrator nel registro.
  • Membro di PRIMARY\Domain mqbrkrs se viene immesso il comando: mqsilist <nome broker><nome gruppo esecuzione>.
  • Deve essere un ID utente definito in TRUSTED
  • L'ID utente deve avere l'autorizzazione ad interrogare i valori della voce WebSphereMQIntegrator nel registro.
  • Membro di TRUSTED\Domain mqbrkrs se viene immesso il comando: mqsilist <nome broker><nome gruppo esecuzione>.
Modifica, visualizzazione e richiamo delle informazioni di traccia
  • Deve essere un ID utente definito in SALONE
  • Membro di mqbrkrs
  • Deve essere un ID utente definito in PRIMARY
  • Membro di PRIMARY\Domain mqbrkrs
  • Deve essere un ID utente definito in TRUSTED
  • Membro di TRUSTED\Domain mqbrkrs
Esecuzione di un Server nomi utente (ID utente del servizio)
  • Deve essere un ID utente definito in SALONE
  • Membro di mqbrkrs
  • Deve essere un ID utente definito in PRIMARY
  • Membro di PRIMARY\Domain mqbrkrs
  • Deve essere un ID utente definito in TRUSTED
  • Membro di TRUSTED\Domain mqbrkrs
Esecuzione di un DatabaseInstanceMgr (ID utente del servizio)
  • Deve essere un ID utente definito in SALONE
  • Membro di mqbrkrs
  • Deve essere un ID utente definito in PRIMARY
  • Membro di PRIMARY\Domain mqbrkrs
  • Deve essere un ID utente definito in TRUSTED
  • Membro di TRUSTED\Domain mqbrkrs
Esecuzione di un Gestione configurazione (ID utente del servizio)
  • Deve essere un ID utente definito in SALONE
  • Membro di mqbrkrs
  • Membro di mqm
  • Membro di Administrators
  • Deve essere un ID utente definito in PRIMARY
  • Membro di PRIMARY\Domain mqbrkrs
  • Membro di SALONE\mqm (fare riferimento alla nota 1)
  • Membro di SALONE/Administrators
  • Deve essere un ID utente definito in TRUSTED
  • Membro di TRUSTED\Domain mqbrkrs
  • Membro di SALONE\mqm (fare riferimento alla nota 2)
  • Membro di SALONE/Administrators
Esecuzione di un broker (percorso rapido di WebSphere MQ disattivato) (ID utente del servizio)
  • Deve essere un ID utente definito in SALONE
  • Membro di mqbrkrs
  • Deve essere un ID utente definito in PRIMARY
  • Membro di PRIMARY\Domain mqbrkrs
  • Deve essere un ID utente definito in TRUSTED
  • Membro di TRUSTED\Domain mqbrkrs
Esecuzione di un broker (percorso rapido di WebSphere MQ attivato) (ID utente del servizio)
  • Deve essere un ID utente definito in SALONE
  • Membro di mqbrkrs
  • Membro di mqm
  • Deve essere un ID utente definito in PRIMARY
  • Membro di PRIMARY\Domain mqbrkrs
  • Membro di SALONE\mqm
  • Deve essere un ID utente definito in TRUSTED
  • Membro di TRUSTED\Domain mqbrkrs
  • Membro di SALONE\mqm
Cancellazione, unione o creazione elenco di broker di Pubblicazione/Sottoscrizione WebSphere MQ
  • Deve essere un ID utente definito in SALONE
  • Membro di mqbrkrs
  • Deve essere un ID utente definito in PRIMARY
  • Membro di PRIMARY\Domain mqbrkrs
  • Deve essere un ID utente definito in TRUSTED
  • Membro di TRUSTED\Domain mqbrkrs
Esecuzione di un Message Brokers Toolkit (fare riferimento alla nota 3)
  • Deve essere un ID utente definito in SALONE (fare riferimento alla nota 4). Ad esempio, SALONE\User1 è valido, PRIMARY\User2 e TRUSTED\User3 non sono validi.
  • Sia con l'opzione di riconoscimento del dominio attivata che non attivata, quando si utilizzano gli ACL del Message Brokers Toolkit, gli ID utente devono essere membri di eventuali gruppi ACL locali creati su SALONE.
  • Sia con l'opzione di riconoscimento del dominio attivata che non attivata, quando si utilizzano gli ACL del Message Brokers Toolkit, gli ID utente devono essere membri di eventuali gruppi ACL locali creati su SALONE.
Esecuzione delle applicazioni di pubblicazione/sottoscrizione
  • Deve essere un ID utente definito in SALONE. Ad esempio, SALONE\User1 è valido, PRIMARY\User2 e TRUSTED\User3 non sono validi.
  • Deve essere un ID utente definito in PRIMARY. Ad esempio, PRIMARY\User2 è valido, SALONE\User1 e TRUSTED\User3 non sono validi.
  • Deve essere un ID utente definito in TRUSTED. Ad esempio, TRUSTED\User3 è valido, SALONE\User1 e PRIMARY\User2 non sono validi.
Note:
  1. Se si sta effettuando l'esecuzione in un dominio primario, è possibile inoltre:
    • Definire l'ID utente nel dominio PRIMARY.
    • Aggiungere questo ID al gruppo PRIMARY\Domain mqm.
    • Aggiungere il gruppo PRIMARY\Domain mqm al gruppo SALONE\mqm .
  2. Se si sta effettuando l'esecuzione in un dominio sicuro, è possibile inoltre:
    • Definire l'ID utente nel dominio TRUSTED.
    • Aggiungere questo ID al gruppo TRUSTED\Domain mqm.
    • Aggiungere il gruppo TRUSTED\Domain mqm al gruppo SALONE\mqm .
  3. Tutti gli utenti di Message Brokers Toolkit necessitano dell'accesso in lettura alla sottodirectory java \lib WebSphere MQ della directory home WebSphere MQ (quella predefinita è X:\Program Files \WebSphere MQ, dove X: è il disco del sistema operativo). Questo accesso è limitato agli utenti nel gruppo locale mqm da WebSphere MQ. L'installazione di WebSphere Message Broker sovrascrive questa limitazione e fornisce l'accesso in lettura a questa sottodirectory a tutti gli utenti.
  4. Se nel dominio utilizzato da Gestione configurazione (ad esempio, PRIMARY\User4), è definito un ID utente valido, un identico utente definito in un altro dominio (ad esempio, DOMAIN2\User4) può accedere al Message Brokers Toolkit con le autorizzazioni di PRIMARY\User4.
  5. Assicurarsi che l'ID utente del servizio disponga dell'accesso richiesto alle directory rilevanti della struttura ad albero del prodotto; ad esempio, l'accesso in scrittura alla directory delle registrazioni. Se, per un eventuale componente, è stato impostato un workpath diverso da quello predefinito, assicurarsi che l'ID utente del servizio disponga dell'accesso appropriato a tale ubicazione.
  6. Se si sta eseguendo Gestione configurazione con un ID utente ed un broker con un diverso ID utente su un altro computer, è possibile che venga visualizzato un messaggio di errore quando si tenta di distribuire flussi di messaggi e serie di messaggi al broker. Per evitare ciò, procedere nel modo riportato di seguito:
    • Assicurarsi che l'ID utente del broker sia un membro dei gruppi mqm e mqbrkrs.
    • Definire l'ID utente del broker sul computer su cui è in esecuzione Gestione configurazione.
    • Definire l'ID utente di Gestione configurazione sul computer su cui è in esecuzione il broker.
    • Assicurarsi che tutti gli ID siano in lettere minuscole in modo da garantirne la compatibilità tra i computer.

Modifiche della sicurezza del broker con Windows 2000 e Windows XP

Inizio modificaSu Windows 2000 e Windows XP, l'ID del servizio utente deve essere un membro del gruppo mqbrkrs e possibilmente un membro del gruppo Amministratori. Come membro del gruppo Amministratori, l'ID utente dispone delle autorizzazioni di accesso alle chiavi del registro del broker, quindi può accedere alle informazioni sul broker. Se l'ID utente del servizio non appartiene al gruppo Amministratori, è possibile modificare il registro Windows in modo che tale ID acceda alle chiavi del registro senza disporre delle autorizzazioni Amministratori.Fine modifica

Inizio modificaPer modificare il registro su Windows 2000 e su Windows XP:Fine modifica

Concetti correlati
Autorizzazione per accedere alle risorse di runtime
Attività correlate
Impostazione della sicurezza del dominio broker
Abilitazione della sicurezza basata sull'argomento
Riferimenti correlati
Comando mqsicreateaclentry
Comando mqsideleteaclentry
Comando mqsilistaclentry
Informazioni particolari | Marchi | Download | Libreria | Supporto | Commenti
Copyright IBM Corporation 1999, 2006 Ultimo aggiornamento: ago 17, 2006
ap08683_