Windows プラットフォームでのセキュリティー要件

以下の表は、WebSphere Message Broker 管理用タスクのセキュリティー要件の要約です。この表は、ローカル・システム SALONE に定義されたローカル・セキュリティー・ドメイン、 PRIMARY という名前の 1 次ドメイン、または TRUSTED という名前のトラステッド・ドメインを使用する場合に、 どのグループ・メンバーシップが必要であるかを示しています。 この表の内容は、 構成マネージャーおよびユーザー・ネーム・サーバーが同じセキュリティー・ドメインで作成されたことを前提とするものです。

ユーザーの実行内容 ローカル・ドメイン (SALONE) 1 次ドメイン (PRIMARY) / Windows 単一ドメイン (PRIMARY) トラステッド・ドメイン (TRUSTED) / ドメイン・ツリー中の Windows 親/子ドメイン (TRUSTED)
ブローカー、構成マネージャーユーザー・ネーム・サーバー、または mqsicreatedb を持つデータベースの作成
  • SALONE で定義されているユーザー ID でなければならない。
  • Administrators のメンバー。
  • PRIMARY で定義されているユーザー ID でなければならない。
  • SALONE¥Administrators のメンバー。
  • TRUSTED で定義されているユーザー ID でなければならない。
  • SALONE¥Administrators のメンバー。
ブローカー、構成マネージャーユーザー・ネーム・サーバーDatabaseInstanceMgr の変更
  • SALONE で定義されているユーザー ID でなければならない。
  • Administrators のメンバー。
  • PRIMARY で定義されているユーザー ID でなければならない。
  • SALONE¥Administrators のメンバー。
  • TRUSTED で定義されているユーザー ID でなければならない。
  • SALONE¥Administrators のメンバー。
ブローカー、構成マネージャーユーザー・ネーム・サーバー、または mqsideletedb を持つデータベースの削除
  • Administrators のメンバー。
  • SALONE¥Administrators のメンバー。
  • SALONE¥Administrators のメンバー。
ブローカー、構成マネージャーユーザー・ネーム・サーバー、または DatabaseInstanceMgr の開始
  • Administrators のメンバー。
  • SALONE¥Administrators のメンバー。
  • SALONE¥Administrators のメンバー。
ブローカー、構成マネージャーユーザー・ネーム・サーバー、または DatabaseInstanceMgr のリスト表示
  • SALONE で定義されているユーザー ID でなければならない。
  • ユーザー ID に、レジストリー中の WebSphereMQIntegrator エントリーの下のレジストリー値を照会する権限がなければならない。
  • コマンド mqsilist <broker name><execution group name> を発行する場合は、 mqbrkrs のメンバー。
  • PRIMARY で定義されているユーザー ID でなければならない。
  • ユーザー ID に、レジストリー中の WebSphereMQIntegrator エントリーの下のレジストリー値を照会する権限がなければならない。
  • コマンド mqsilist <broker name><execution group name> を発行する場合は、PRIMARY¥Domain mqbrkrs のメンバー。
  • TRUSTED で定義されているユーザー ID でなければならない。
  • ユーザー ID に、レジストリー中の WebSphereMQIntegrator エントリーの下のレジストリー値を照会する権限がなければならない。
  • コマンド mqsilist <broker name><execution group name> を発行する場合は、TRUSTED¥Domain mqbrkrs のメンバー。
トレース情報の変更、表示、取り出し
  • SALONE で定義されているユーザー ID でなければならない。
  • mqbrkrs のメンバー。
  • PRIMARY で定義されているユーザー ID でなければならない。
  • PRIMARY¥Domain mqbrkrs のメンバー。
  • TRUSTED で定義されているユーザー ID でなければならない。
  • TRUSTED¥Domain mqbrkrs のメンバー。
ユーザー・ネーム・サーバーの実行 (サービス・ユーザー ID)
  • SALONE で定義されているユーザー ID でなければならない。
  • mqbrkrs のメンバー。
  • PRIMARY で定義されているユーザー ID でなければならない。
  • PRIMARY¥Domain mqbrkrs のメンバー。
  • TRUSTED で定義されているユーザー ID でなければならない。
  • TRUSTED¥Domain mqbrkrs のメンバー。
DatabaseInstanceMgrの実行 (サービス・ユーザー ID)
  • SALONE で定義されているユーザー ID でなければならない。
  • mqbrkrs のメンバー。
  • PRIMARY で定義されているユーザー ID でなければならない。
  • PRIMARY¥Domain mqbrkrs のメンバー。
  • TRUSTED で定義されているユーザー ID でなければならない。
  • TRUSTED¥Domain mqbrkrs のメンバー。
構成マネージャーの実行 (サービス・ユーザー ID)
  • SALONE で定義されているユーザー ID でなければならない。
  • mqbrkrs のメンバー。
  • mqm のメンバー。
  • Adminstrators のメンバー。
  • PRIMARY で定義されているユーザー ID でなければならない。
  • PRIMARY¥Domain mqbrkrs のメンバー。
  • SALONE¥mqm のメンバー (注 1 を参照)
  • SALONE/Adminstrators のメンバー。
  • TRUSTED で定義されているユーザー ID でなければならない。
  • TRUSTED¥Domain mqbrkrs のメンバー。
  • SALONE¥mqm のメンバー (注 2 を参照)。
  • SALONE/Adminstrators のメンバー。
ブローカーの実行 (WebSphere MQ ファースト・パスはオフ) (サービス・ユーザー ID)
  • SALONE で定義されているユーザー ID でなければならない。
  • mqbrkrs のメンバー。
  • PRIMARY で定義されているユーザー ID でなければならない。
  • PRIMARY¥Domain mqbrkrs のメンバー。
  • TRUSTED で定義されているユーザー ID でなければならない。
  • TRUSTED¥Domain mqbrkrs のメンバー。
ブローカーの実行 (WebSphere MQ ファースト・パスはオン) (サービス・ユーザー ID)
  • SALONE で定義されているユーザー ID でなければならない。
  • mqbrkrs のメンバー。
  • mqm のメンバー。
  • PRIMARY で定義されているユーザー ID でなければならない。
  • PRIMARY¥Domain mqbrkrs のメンバー。
  • SALONE¥mqm のメンバー。
  • TRUSTED で定義されているユーザー ID でなければならない。
  • TRUSTED¥Domain mqbrkrs のメンバー。
  • SALONE¥mqm のメンバー。
WebSphere MQ パブリッシュ/サブスクライブ・ブローカーのクリア、結合、またはリスト
  • SALONE で定義されているユーザー ID でなければならない。
  • mqbrkrs のメンバー。
  • PRIMARY で定義されているユーザー ID でなければならない。
  • PRIMARY¥Domain mqbrkrs のメンバー。
  • TRUSTED で定義されているユーザー ID でなければならない。
  • TRUSTED¥Domain mqbrkrs のメンバー。
Message Brokers Toolkit の実行 (注 3 を参照)
  • SALONE で定義されているユーザー ID でなければならない (注 4 を参照)。 例えば、SALONE¥User1 は有効であるが、PRIMARY¥User2 や TRUSTED¥User3 は有効ではない。
  • Message Brokers Toolkit ACL を使用する際には、使用可能なドメイン認識および使用不可のドメイン認識の両方において、ユーザー ID は SALONE で作成されるローカル ACL グループのいずれかのメンバーでなければならない。
  • Message Brokers Toolkit ACL を使用する際には、使用可能なドメイン認識および使用不可のドメイン認識の両方において、ユーザー ID は SALONE で作成されるローカル ACL グループのいずれかのメンバーでなければならない。
パブリッシュ/サブスクライブ・アプリケーションの実行
  • SALONE で定義されているユーザー ID でなければならない。 例えば、SALONE¥User1 は有効であるが、PRIMARY¥User2 や TRUSTED¥User3 は有効ではない。
  • PRIMARY で定義されているユーザー ID でなければならない。 例えば、PRIMARY¥User2 は有効であるが、SALONE¥User1 や TRUSTED¥User3 は有効ではない。
  • TRUSTED で定義されているユーザー ID でなければならない。 例えば、TRUSTED¥User3 は有効であるが、SALONE¥User1 や PRIMARY¥User2 は有効ではない。
注 :
  1. 1 次ドメイン中で実行している場合は、以下の作業も行うことができます。
    • ドメイン PRIMARY 中にユーザー ID を定義します。
    • この ID をグループ PRIMARY¥Domain mqm に追加します。
    • PRIMARY¥Domain mqm グループを SALONE¥mqm グループに追加します。
  2. トラステッド・ドメイン中で実行している場合は、以下の作業も行うことができます。
    • ドメイン TRUSTED 中にユーザー ID を定義します。
    • この ID をグループ TRUSTED¥Domain mqm に追加します。
    • TRUSTED¥Domain mqm グループを SALONE¥mqm グループに追加します。
  3. どの Message Brokers Toolkit ユーザーにも、WebSphere MQ ホーム・ディレクトリーの WebSphere MQ java ¥lib サブディレクトリーに 対する読み取りアクセス権が必要です (デフォルトは X:¥Program Files ¥WebSphere MQ。 ただし X: はオペレーティング・システム・ディスク)。 WebSphere MQ では、このアクセス権は、ローカル・グループ mqm 中のユーザーだけに制限されています。 WebSphere Message Broker をインストールすると、この制限がオーバーライドされ、 このサブディレクトリーの読み取りアクセス権がすべてのユーザーに与えられます。
  4. 構成マネージャーによって使用されるドメイン (PRIMARY¥User4 など) に有効なユーザー ID が定義されている場合、その同じユーザーが別のドメイン (DOMAIN2¥User4 など) でも定義されていると、PRIMARY¥User4 の権限を使用して Message Brokers Toolkit にもアクセスできます。
  5. サービス・ユーザー ID に、 製品ディレクトリー・ツリーの関連ディレクトリーへの必要なアクセス権、 例えばログ・ディレクトリーへの書き込みアクセス権などがあるか確認します。 デフォルト以外の作業パスがいずれかのコンポーネントに対して設定されている場合、 サービス・ユーザー ID に、その場所への適切なアクセス権があるかどうか確認します。
  6. 構成マネージャーの実行時に使用しているユーザー ID と別のコンピューター上でブローカーの実行時に使用しているユーザー ID が違う場合は、メッセージ・フローおよびメッセージ・セットをブローカーにデプロイしようとするとエラー・メッセージが表示されることがあります。表示されないようにするには、以下のことを行ってください。
    • ブローカーのユーザー ID が mqm および mqbrkrs グループのメンバーであることを確認します。
    • 構成マネージャーを実行しているコンピューター上で、ブローカーのユーザー ID を定義します。
    • ブローカーを実行しているコンピューター上で、構成マネージャーのユーザー ID を定義します。
    • すべての ID が小文字で、コンピューター間で互換性があることを確認します。

Windows 2000 および Windows XP でのブローカー・セキュリティーの変更

変更の始まりWindows 2000 および Windows XP では、サービス・ユーザー ID は mqbrkrs グループのメンバーでなければなりません。また、Administrators グループのメンバーでなければなりません (オプション)。 Administrators グループのメンバーになっているサービス・ユーザー ID は、ブローカーのレジストリー・キーへのアクセス許可を持つので、ブローカー情報にアクセスできます。 サービス・ユーザー ID が Administrators グループに属さない場合、Windows レジストリーを編集することによって、Administrators 許可がなくてもサービス・ユーザー ID がレジストリー・キーにアクセスできるようにすることができます。変更の終わり

変更の始まりWindows 2000 および Windows XP のレジストリーを編集するには、以下のようにします。変更の終わり

関連概念
ランタイム・リソースへのアクセス許可
関連タスク
ブローカー・ドメインのセキュリティーのセットアップ
トピック・ベースのセキュリティーの使用可能化
関連資料
mqsicreateaclentry コマンド
mqsideleteaclentry コマンド
mqsilistaclentry コマンド
特記事項 | 商標 | ダウンロード | ライブラリー | サポート | フィードバック
Copyright IBM Corporation 1999, 2006 最終更新: 08/21/2006
ap08683_