トピック・ベースのセキュリティーの使用可能化

ブローカーのパブリッシュ/サブスクライブ・サービスを使用するアプリケーションが存在する場合、メッセージがパブリッシュおよびサブスクライブされるトピックに対して追加レベルのセキュリティーを適用できます。 このトピック・ベースのセキュリティーは、ユーザー・ネーム・サーバーによって管理されます。

以下のステップを実行します。

  1. ユーザー・ネーム・サーバーを作成する前に、ユーザー・ネーム・サーバーのセキュリティーの考慮を参照してください。
  2. ユーザー・ネーム・サーバーを作成します。 ユーザー・ネーム・サーバーの作成を参照してください。
  3. mqsicreatebroker または mqsichangebroker コマンドで、-j フラグを選択して、-s パラメーターをユーザー・ネーム・サーバーのキュー・マネージャーの名前に設定します。
  4. mqsicreateconfigmgr またはmqsichangeconfigmgr コマンドの -s パラメーターを ユーザー・ネーム・サーバー 用のキュー・マネージャーの名前に設定してください。
  5. 追加のセキュリティーが必要なトピック用の ACL を作成します。 詳しくは、ACL 項目の作成を参照してください。
  6. ブローカーのサービス利用者 ID に、以下の権限があることを確認します。
    1. メッセージ・フローに含まれる各入力キューからのメッセージの読み取り
    2. メッセージ・フローに含まれる出力、応答、および障害キューへのメッセージの書き込み
  7. パブリッシュ・アプリケーションおよびサブスクライブ・アプリケーションが実行するユーザー ID に、メッセージ・フロー・キューに対する十分な書き込み権限と読み取り権限があることを確認します。
    1. パブリッシュ・アプリケーションに対し、メッセージ・フローの入力キューへのメッセージの書き込みを許可します。
    2. サブスクリプションを登録するアプリケーションに対し、SYSTEM.BROKER.CONTROL.QUEUE キューへの書き込みを許可します。
    3. サブスクライブ・アプリケーションに対し、メッセージがパブリッシュされるキューからの読み取りを許可します。
    4. パブリッシュ・アプリケーションおよびサブスクライブ・アプリケーションに対し、応答キューからの読み取りを許可します。

JMS クライアントからパブリッシュ/サブスクライブ要求を発行する場合は、追加のセキュリティー・オプションが使用できます。 SSL 認証保護品質、および認証サービスを参照してください。

構成マネージャーのセキュリティーの考慮に進みます。

ユーザー・ネーム・サーバーのセキュリティーの考慮

このタスクは、以下の質問に回答することによって行います。
ブローカー内のトピック・ベースのセキュリティーを使用可能にしていますか ?
  1. いいえ: 構成マネージャーのセキュリティーの考慮に進みます。
  2. はい: ユーザー・ネーム・サーバーが必要です。 ユーザー・ネーム・サーバー・コマンドを実行できるユーザーを決定するに進みます。

ユーザー・ネーム・サーバー・コマンドを実行できるユーザーを決定する

このタスクでは、以下を行うユーザー ID に必要な許可を決定します。
  • ユーザー・ネーム・サーバーの作成、変更、リスト、削除、開始、および停止
  • トレース情報の表示、検索、および変更

以下の質問に回答します。

  1. ユーザー・ネーム・サーバーLinux または UNIX オペレーティング・システムにインストールされていますか ?
    1. いいえ: 次の質問に進みます。
    2. はい: Linux および UNIX では、ユーザー・ネーム・サーバー・コマンドの実行に関する情報はまだ使用可能でありません。

      ユーザー・ネーム・サーバー・サービス ID として使用するユーザー・アカウントを決定するに進みます。

  2. Windows ローカル・アカウントの下でユーザー・ネーム・サーバー・コマンドを実行しますか ?
    1. いいえ: 次の質問に進みます。
    2. はい: 仮にローカル・アカウントが WKSTN1 というコンピューター上にあるとします。ユーザー・ネーム・サーバーを作成する際に、ユーザー ID がローカル・ドメインで定義されていることを確認します。ユーザー・ネーム・サーバー を作成または開始する際に、ユーザー ID が WKSTN1¥Administrators のメンバーであることを確認します。

      ユーザー・ネーム・サーバー・サービス ID として使用するユーザー・アカウントを決定するに進みます。

  3. Windows ドメイン・アカウントの下でユーザー・ネーム・サーバー・コマンドを実行しますか ?
    1. はい: 仮に WKSTN1 というユーザーのコンピューターが DOMAIN1 というドメインのメンバーであるとして、例えば DOMAIN1¥user1 を使用して ユーザー・ネーム・サーバー を作成するのであれば、 DOMAIN1¥user1 が WKSTN1¥Administrators のメンバーであることを確認します。

      ユーザー・ネーム・サーバー・サービス ID として使用するユーザー・アカウントを決定するに進みます。

ユーザー・ネーム・サーバー・サービス ID として使用するユーザー・アカウントを決定する

mqsicreateusernameserver または mqsichangeusernameserver コマンドで、-i オプションを使用してサービス ID を設定する際は、ユーザー・ネーム・サーバー・コンポーネント・プロセスを実行するユーザー ID を決定します。

以下の質問に回答します。

  1. ユーザー・ネーム・サーバーLinux または UNIX オペレーティング・システムにインストールされていますか ?
    1. いいえ: 次の質問に進みます。
    2. はい: Linux および UNIX では、ユーザー・ネーム・サーバーの実行に関する情報はまだ使用可能でありません。

      ユーザー・ネーム・サーバーのキューのセキュリティーの設定に進みます。

  2. Windows ローカル・アカウントの下でユーザー・ネーム・サーバーを実行しますか ?
    1. いいえ: 次の質問に進みます。
    2. はい: ユーザー ID が、ローカル・ドメインで定義されていて、mqbrkrs のメンバーであることを確認します。

      ユーザー・ネーム・サーバーのキューのセキュリティーの設定に進みます。

  3. Windows ドメイン・アカウントの下でユーザー・ネーム・サーバーを実行しますか ?
    1. はい: 仮に WKSTN1 というユーザーのコンピューターが DOMAIN1 というドメインのメンバーであるとして、たとえば DOMAIN1¥user1 を使用してユーザー・ネーム・サーバーを実行する場合は、 DOMAIN1¥user1 が DOMAIN1¥Domain mqbrkrs のメンバーであり、 DOMAIN1¥Domain mqbrkrs が WKSTN1¥mqbrkrs のメンバーであることを確認します。

      ユーザー・ネーム・サーバーのキューのセキュリティーの設定に進みます。

ユーザー・ネーム・サーバーのキューのセキュリティーの設定

mqsicreateusernameserver コマンドを実行すると、mqbrkrs グループは以下のキューへのアクセス権限を取得します。
  • SYSTEM.BROKER.SECURITY.QUEUE
  • SYSTEM.BROKER.MODEL.QUEUE
ブローカーと構成マネージャーだけが、ユーザー・ネーム・サーバーのキューへのアクセスを必要とします。

ドメイン環境でのユーザー・ネーム・サーバーの実行

パブリッシュ・コマンドおよびサブスクライブ・コマンドを実行するユーザーがドメイン・ユーザーである場合は、mqsicreateusernameserver コマンドの -d オプションに、これらのユーザーの所属するドメインを設定します。 パブリッシュ・コマンドおよびサブスクライブ・コマンドを実行するユーザーは、すべて同じドメインに所属していなければなりません。

特記事項 | 商標 | ダウンロード | ライブラリー | サポート | フィードバック
Copyright IBM Corporation 1999, 2006 最終更新: 08/21/2006
ap03983_