構成マネージャーのセキュリティーの考慮

このタスクでは、次の事柄に必要なグループ・メンバーシップについて考慮します。
  • 構成マネージャー・コマンドを実行するユーザー
  • サービス ID
  • 構成マネージャーのキューにアクセスします。

ACL は構成マネージャー自体に関連しています。 構成マネージャーの ACL のフル・コントロール・メンバーシップを持っているユーザーまたはグループには、他のすべての ACL のフル・コントロール・メンバーシップを暗黙的に有しています。また、ユーザーまたはグループが構成マネージャーの ACL のフル・コントロール・メンバーシップを持っていれば、構成マネージャーを含むどのオブジェクトの ACL にも変更を加えることもできます。

以下のリストの該当するセクションをお読みください。

  1. 構成マネージャー・コマンドを実行できるユーザーを決定する
  2. 構成マネージャー・サービス ID として使用するユーザー・アカウントを決定する
  3. 構成マネージャーのキューのセキュリティーの設定
  4. ドメイン環境での構成マネージャーの実行

構成マネージャー・コマンドを実行できるユーザーを決定する

このタスクでは、以下を行うユーザー ID に必要な許可を決定します。
  • 構成マネージャーの作成、変更、リスト、削除、開始、および停止
  • トレース情報の表示、検索、および変更

以下の質問に回答します。

  1. Windows ローカル・アカウントの下で構成マネージャー・コマンドを実行しますか ?
    1. いいえ: 次の質問に進みます。
    2. はい: 仮にローカル・アカウントが WKSTN1 というコンピューター上にあるとします。構成マネージャーを作成する際に、ユーザー ID がローカル・ドメインで定義されていることを確認します。 構成マネージャー を作成または開始する際に、ユーザー ID が WKSTN1¥Administrators のメンバーであることを確認します。

      構成マネージャー・サービス ID として使用するユーザー・アカウントを決定する に進みます。

  2. Windows ドメイン・アカウントの下で構成マネージャー・コマンドを実行しますか ?
    1. はい: 仮に WKSTN1 というユーザーのコンピューターが DOMAIN1 というドメインのメンバーであるとして、例えば DOMAIN1¥user1 を使用して 構成マネージャー を作成するのであれば、 DOMAIN1¥user1 が WKSTN1¥Administrators のメンバーであることを確認します。

      構成マネージャー・サービス ID として使用するユーザー・アカウントを決定する に進みます。

構成マネージャー・サービス ID として使用するユーザー・アカウントを決定する

mqsicreateconfigmgr または mqsichangeconfigmgr コマンドで、-i オプションを使用してサービス ID を設定する際は、構成マネージャー・コンポーネント・プロセスを実行するユーザー ID を決定します。

以下の質問に回答します。

  1. Windows ローカル・アカウントの下で構成マネージャーを実行しますか ?
    1. いいえ: 次の質問に進みます。
    2. 変更の始まりはい: ユーザー ID が以下の特性を持つことを確認します。
      • ローカル・ドメインに定義されている。
      • mqbrkrs のメンバーである。
      • mqm のメンバーである。
      • Administrators のメンバーである。

      構成マネージャーのキューのセキュリティーの設定 に進みます。

      変更の終わり
  2. Windows ドメイン・アカウントの下で構成マネージャーを実行しますか ?
    1. はい: 仮に WKSTN1 というユーザーのコンピューターが DOMAIN1 というドメインのメンバーであるとして、 例えば DOMAIN1¥user1 を使用して構成マネージャーを実行するのであれば、以下のことを確認します。
      1. DOMAIN1¥user1 が DOMAIN1¥Domain mqbrkrs のメンバーである。
      2. DOMAIN1¥user1 が WKSTN1¥mqm のメンバーである。
      3. DOMAIN1¥Domain mqbrkrs が WKSTN1¥mqbrkrs のメンバーである。
      4. 変更の始まりDOMAIN1¥user1 が WKSTN1¥Administrators のメンバーである。変更の終わり

      あるいは、以下のステップを完了します。

      1. DOMAIN1 で user1 を定義します。
      2. user1 を DOMAIN1¥Domain mqm グループに追加します。
      3. 変更の始まりuser1 を DOMAIN1¥Domain mqbrkrs グループに追加します。変更の終わり
      4. DOMAIN1¥Domain mqm グループを WKSTN1¥mqm グループに追加します。
      5. DOMAIN1¥Domain mqbrkrs グループを WKSTN1¥mqbrkrs グループに追加します。
      6. 変更の始まりuser1 を WKSTN1¥Administrators グループに追加します。変更の終わり

      構成マネージャーのキューのセキュリティーの設定 に進みます。

構成マネージャーのキューのセキュリティーの設定

コマンドを実行すると、 mqbrkrs グループは以下のキューへのアクセス権限を取得します。
  • SYSTEM.BROKER.CONFIG.QUEUE
  • SYSTEM.BROKER.CONFIG.REPLY
  • SYSTEM.BROKER.ADMIN.REPLY
  • SYSTEM.BROKER.SECURITY.QUEUE
  • SYSTEM.BROKER.MODEL.QUEUE.
ブローカーとユーザー・ネーム・サーバーには、構成マネージャーのキューへのアクセスが必要です。
アクセス制御リスト (ACL) が作成されている各グループまたはユーザーが、以下のキューに対するアクセス権限を持つことになります。
  • SYSTEM.BROKER.CONFIG.QUEUE
  • SYSTEM.BROKER.CONFIG.REPLY.

ドメイン環境での構成マネージャーの実行

特記事項 | 商標 | ダウンロード | ライブラリー | サポート | フィードバック
Copyright IBM Corporation 1999, 2006 最終更新: 08/21/2006
ap03984_