Consideraciones sobre la seguridad en un Gestor de configuración

Durante esta tarea se considera la pertenencia a un grupo necesaria para:
  • Los usuarios que ejecutan mandatos Gestor de configuración
  • Los ID de servicio
  • El acceso a las colas del Gestor de configuración.

Se asocia una ACL con el propio Gestor de configuración. Los usuarios o grupos que tienen pertenencia de control total de la ACL del Gestor de configuración tienen implícitamente pertenencia de control total de todas las demás ACL. La pertenencia de control total de la ACL del Gestor de configuración permite a los usuarios o grupos modificar las ACL para cualquier objeto, incluido el Gestor de configuración.

Consulte las secciones adecuadas de esta lista:

  1. Cómo decidir qué cuentas de usuarios pueden ejecutar mandatos Gestor de configuración
  2. Cómo decidir qué cuenta de usuario utilizar para el ID de servicio del Gestor de configuración
  3. Configuración de la seguridad en las colas del Gestor de configuración
  4. Ejecución del Gestor de configuración en un entorno de dominio

Cómo decidir qué cuentas de usuarios pueden ejecutar mandatos Gestor de configuración

Durante esta tarea se decide qué permisos son necesarios para los ID de usuarios que:
  • Crean, cambian, listan, suprimen, inician y detienen un Gestor de configuración
  • Muestran, recuperan y cambian información de rastreo.

Responda a las siguientes preguntas:

  1. ¿Ejecuta los mandatos Gestor de configuración bajo una cuenta local de Windows?
    1. No: vaya a la siguiente pregunta.
    2. Sí: Suponga que la cuenta local está en un sistema denominado, por ejemplo, WKSTN1. Al crear un Gestor de configuración, asegúrese de que el ID de usuario está definido en el dominio local. Al crear o iniciar un Gestor de configuración, asegúrese de que el ID de usuario es miembro de WKSTN1\Administradores.

      Vaya a Cómo decidir qué cuenta de usuario utilizar para el ID de servicio del Gestor de configuración

  2. ¿Ejecuta los mandatos Gestor de configuración bajo una cuenta de dominio de Windows?
    1. Sí: Suponga que el sistema denominado WKSTN1, por ejemplo, es miembro de un dominio denominado DOMAIN1. Al crear un Gestor de configuración utilizando, por ejemplo, DOMAIN1\user1, asegúrese de que DOMAIN1\user1 es miembro de WKSTN1\Administradores.

      Vaya a Cómo decidir qué cuenta de usuario utilizar para el ID de servicio del Gestor de configuración

Cómo decidir qué cuenta de usuario utilizar para el ID de servicio del Gestor de configuración

Cuando establece el ID de servicio con la opción -i en el mandato mqsicreateconfigmgr o mqsichangeconfigmgr, determine el ID de usuario bajo el que se ejecuta el proceso del componente de Gestor de configuración.

Responda a las siguientes preguntas:

  1. ¿Desea que el Gestor de configuración se ejecute bajo una cuenta local de Windows?
    1. No: vaya a la siguiente pregunta.
    2. Inicio del cambioSí: Asegúrese de que el ID de usuario tenga las características siguientes:
      • Está definido en el dominio local.
      • Es miembro de mqbrkrs.
      • Es miembro de mqm.
      • Es miembro de los administradores.

      Vaya a Configuración de la seguridad en las colas del Gestor de configuración.

      Fin del cambio
  2. ¿Desea que el Gestor de configuración se ejecute bajo una cuenta de dominio de Windows?
    1. Sí: Suponga que el sistema denominado WKSTN1, por ejemplo, es miembro de un dominio denominado DOMAIN1. Cuando ejecute un Gestor de configuración utilizando, por ejemplo,DOMAIN1\user1, asegúrese de que:
      1. DOMAIN1\user1 sea miembro de DOMAIN1\Dominio mqbrkrs.
      2. DOMAIN1\user1 sea miembro de WKSTN1\mqm.
      3. DOMAIN1\Dominio mqbrkrs sea miembro de WKSTN1\mqbrkrs.
      4. Inicio del cambioDOMAIN1\user1 sea miembro de WKSTN1\Administradores.Fin del cambio

      Alternativamente, realice los pasos siguientes:

      1. Defina user1 en DOMAIN1.
      2. Añada user1 al grupo DOMAIN1\Dominio mqm.
      3. Inicio del cambioAñada user1 al grupo DOMAIN1\Dominio mqbrkrs. Fin del cambio
      4. Añada el grupo DOMAIN1\Dominio mqm al grupo WKSTN1\mqm.
      5. Añada el grupo DOMAIN1\Dominio mqbrkrs al grupo WKSTN1\mqbrkrs.
      6. Inicio del cambioAñada user1 al grupo WKSTN1\Administradores. Fin del cambio

      Vaya a Configuración de la seguridad en las colas del Gestor de configuración.

Configuración de la seguridad en las colas del Gestor de configuración

Al ejecutar el mandato , el grupo mqbrkrs obtiene autorización de acceso para las siguientes colas:
  • SYSTEM.BROKER.CONFIG.QUEUE
  • SYSTEM.BROKER.CONFIG.REPLY
  • SYSTEM.BROKER.ADMIN.REPLY
  • SYSTEM.BROKER.SECURITY.QUEUE
  • SYSTEM.BROKER.MODEL.QUEUE.
El intermediario y el Servidor de nombres de usuario requieren acceder a las colas del Gestor de configuración.
Cada grupo o usuario para el que crea listas de control de acceso (ACL), obtiene autorización de acceso a las siguientes colas:
  • SYSTEM.BROKER.CONFIG.QUEUE
  • SYSTEM.BROKER.CONFIG.REPLY.

Ejecución del Gestor de configuración en un entorno de dominio

Avisos | Marcas registradas | Descargas | Biblioteca | Soporte | Su opinión
Copyright IBM Corporation 1999, 2006 Última actualización: 22/08/2006
ap03984_