Requisitos de seguridad para las plataformas Windows

En la siguiente tabla se muestra un resumen de los requisitos de seguridad de las tareas administrativas de WebSphere Message Broker. Muestra qué pertenencia a grupo es necesaria si utiliza un dominio de seguridad global definida en el sistema local SALONE o un dominio primario denominado PRIMARY o un dominio fiable denominado TRUSTED. En esta tabla se da por supuesto que el Gestor de configuración y el Servidor de nombres de usuario se han creado con el mismo dominio de seguridad.

El usuario está... Dominio local (SALONE) Dominio primario (PRIMARY) / Windows Un único dominio (PRIMARY) Dominio fiable (TRUSTED) / Windows Dominio padre/hijo en árbol de dominio (TRUSTED)
Creando un intermediario, un Gestor de configuración, un Servidor de nombres de usuario o una base de datos (con mqsicreatedb)
  • Debe ser un ID de usuario definido en SALONE
  • Miembro de Administradores
  • Debe ser un ID de usuario definido en PRIMARY
  • Miembro de SALONE\Administradores
  • Debe ser un ID de usuario definido en TRUSTED
  • Miembro de SALONE\Administradores
Cambiando un intermediario, un Gestor de configuración, un Servidor de nombres de usuario o un DatabaseInstanceMgr
  • Debe ser un ID de usuario definido en SALONE
  • Miembro de Administradores
  • Debe ser un ID de usuario definido en PRIMARY
  • Miembro de SALONE\Administradores
  • Debe ser un ID de usuario definido en TRUSTED
  • Miembro de SALONE\Administradores
Suprimiendo un intermediario, un Gestor de configuración, un Servidor de nombres de usuario o una base de datos (con mqsideletedb)
  • Miembro de Administradores
  • Miembro de SALONE\Administradores
  • Miembro de SALONE\Administradores
Iniciando un intermediario, un Gestor de configuración, un Servidor de nombres de usuario o un DatabaseInstanceMgr
  • Miembro de Administradores
  • Miembro de SALONE\Administradores
  • Miembro de SALONE\Administradores
Listando a un intermediario, Gestor de configuración, un Servidor de nombres de usuario o un DatabaseInstanceMgr
  • Debe ser un ID de usuario definido en SALONE
  • El ID de usuario debe tener autorización para consultar los valores de registro bajo la entrada WebSphereMQIntegrator del registro.
  • Miembro de mqbrkrs si se está emitiendo el mandato: mqsilist <nombre de intermediario><nombre de grupo de ejecución>.
  • Debe ser un ID de usuario definido en PRIMARY
  • El ID de usuario debe tener autorización para consultar los valores de registro bajo la entrada WebSphereMQIntegrator del registro.
  • Miembro de PRIMARY\Dominio mqbrkrs si se está emitiendo el mandato: mqsilist <nombre de intermediario><nombre de grupo de ejecución>.
  • Debe ser un ID de usuario definido en TRUSTED
  • El ID de usuario debe tener autorización para consultar los valores de registro bajo la entrada WebSphereMQIntegrator del registro.
  • Miembro de TRUSTED\Dominio mqbrkrs si se está emitiendo el mandato: mqsilist <nombre de intermediario><nombre de grupo de ejecución>.
Cambiando, visualizando, recuperando información de rastreo
  • Debe ser un ID de usuario definido en SALONE
  • Miembro de mqbrkrs
  • Debe ser un ID de usuario definido en PRIMARY
  • Miembro de PRIMARY\Dominio mqbrkrs
  • Debe ser un ID de usuario definido en TRUSTED
  • Miembro de TRUSTED\Dominio mqbrkrs
Ejecutando un Servidor de nombres de usuario (ID de usuario de servicio)
  • Debe ser un ID de usuario definido en SALONE
  • Miembro de mqbrkrs
  • Debe ser un ID de usuario definido en PRIMARY
  • Miembro de PRIMARY\Dominio mqbrkrs
  • Debe ser un ID de usuario definido en TRUSTED
  • Miembro de TRUSTED\Dominio mqbrkrs
Ejecutando un DatabaseInstanceMgr (ID de usuario de servicio)
  • Debe ser un ID de usuario definido en SALONE
  • Miembro de mqbrkrs
  • Debe ser un ID de usuario definido en PRIMARY
  • Miembro de PRIMARY\Dominio mqbrkrs
  • Debe ser un ID de usuario definido en TRUSTED
  • Miembro de TRUSTED\Dominio mqbrkrs
Ejecutando un Gestor de configuración (ID de usuario de servicio)
  • Debe ser un ID de usuario definido en SALONE
  • Miembro de mqbrkrs
  • Miembro de mqm
  • Miembro de Administradores
  • Debe ser un ID de usuario definido en PRIMARY
  • Miembro de PRIMARY\Dominio mqbrkrs
  • Miembro de SALONE\mqm (consulte la nota 1)
  • Miembro de SALONE/Administradores
  • Debe ser un ID de usuario definido en TRUSTED
  • Miembro de TRUSTED\Dominio mqbrkrs
  • Miembro de SALONE\mqm (consulte la nota 2)
  • Miembro de SALONE/Administradores
Ejecutando un intermediario (vía de acceso rápida de WebSphere MQ desactivada) (ID de usuario de servicio)
  • Debe ser un ID de usuario definido en SALONE
  • Miembro de mqbrkrs
  • Debe ser un ID de usuario definido en PRIMARY
  • Miembro de PRIMARY\Dominio mqbrkrs
  • Debe ser un ID de usuario definido en TRUSTED
  • Miembro de TRUSTED\Dominio mqbrkrs
Ejecutando un intermediario (vía de acceso rápida de WebSphere MQ activada) (ID de usuario de servicio)
  • Debe ser un ID de usuario definido en SALONE
  • Miembro de mqbrkrs
  • Miembro de mqm
  • Debe ser un ID de usuario definido en PRIMARY
  • Miembro de PRIMARY\Dominio mqbrkrs
  • Miembro de SALONE\mqm
  • Debe ser un ID de usuario definido en TRUSTED
  • Miembro de TRUSTED\Dominio mqbrkrs
  • Miembro de SALONE\mqm
Borrando, uniendo o listando intermediarios de WebSphere MQ Publicación/Suscripción
  • Debe ser un ID de usuario definido en SALONE
  • Miembro de mqbrkrs
  • Debe ser un ID de usuario definido en PRIMARY
  • Miembro de PRIMARY\Dominio mqbrkrs
  • Debe ser un ID de usuario definido en TRUSTED
  • Miembro de TRUSTED\Dominio mqbrkrs
Ejecutando Kit de herramientas de Message Brokers (consulte la nota 3)
  • Debe ser el ID de usuario definido en SALONE (vea la nota 4). Por ejemplo, SALONE\User1 es válido, PRIMARY\User2 y TRUSTED\User3 no lo son.
  • Tanto para la detección de dominio habilitada como para la detección de dominio inhabilita, cuando se utilizan ACL del Kit de herramientas de Message Brokers, los ID de usuario deben ser miembros de cualquier grupo de ACL local creado en SALONE.
  • Tanto para la detección de dominio habilitada como para la detección de dominio inhabilita, cuando se utilizan ACL del Kit de herramientas de Message Brokers, los ID de usuario deben ser miembros de cualquier grupo de ACL local creado en SALONE.
Ejecutando aplicaciones de publicación/suscripción
  • Debe ser un ID de usuario definido en SALONE. Por ejemplo, SALONE\User1 es válido, PRIMARY\User2 y TRUSTED\User3 no lo son.
  • Debe ser un ID de usuario definido en PRIMARY. Por ejemplo, PRIMARY\User2 es válido, SALONE\User1 y TRUSTED\User3 no lo son.
  • Debe ser un ID de usuario definido en TRUSTED. Por ejemplo, TRUSTED\User3 es válido, SALONE\User1 y PRIMARY\User2 no lo son.
Notas:
  1. Si ejecuta un dominio primario, también puede:
    • Define el ID de usuario en el dominio PRIMARY.
    • Añadir este ID al grupo PRIMARY\Dominio mqm.
    • Añadir el grupo PRIMARY\Dominio mqm al grupo SALONE\mqm .
  2. Si ejecuta en un dominio fiable, también puede:
    • Definir el ID de usuario en el dominio TRUSTED.
    • Añadir este ID al grupo TRUSTED\Dominio mqm.
    • Añadir el grupo TRUSTED\Dominio mqm al grupo SALONE\mqm .
  3. Todos los usuarios de Kit de herramientas de Message Brokers necesitan acceso de lectura al subdirectorio WebSphere MQ java \lib del directorio inicial de WebSphere MQ (el valor por omisión es X:\Archivos de programa\WebSphere MQ, donde X: es el disco del sistema operativo). Este acceso está restringido a los usuarios del grupo local mqm por WebSphere MQ. La instalación de WebSphere Message Broker altera temporalmente esta restricción y proporciona acceso de lectura para este subdirectorio a todos los usuarios.
  4. Si hay un ID de usuario válido definido en el dominio utilizado por el Gestor de configuración (por ejemplo, PRIMARY\User4), un usuario idéntico definido en otro dominio (por ejemplo, DOMAIN2\User4) puede acceder a Kit de herramientas de Message Brokers con las autorizaciones de PRIMARY\User4.
  5. Asegúrese de que el ID de usuario de servicio tiene el acceso necesario a los directorios pertinentes del árbol de directorios del producto; por ejemplo, acceso de escritura al directorio de anotaciones. Si se ha establecido una vía de acceso distinta al valor por omisión para cualquier componente, asegúrese de que el ID de usuario de servicios tiene el acceso adecuado a esta ubicación.
  6. Si está ejecutado un Gestor de configuración con un ID de usuario y un intermediario con un ID de usuario diferente en otro sistema, es posible que vea un mensaje de error al intentar desplegar flujos de mensajes y conjuntos de mensajes en el intermediario. Para evitarlo, realice lo siguiente:
    • Asegúrese de que el ID de usuario del intermediario es miembro de los grupos mqm y mqbrkrs.
    • Defina el ID de usuario del intermediario en el sistema en el que se ejecuta el Gestor de configuración.
    • Defina el ID de usuario del Gestor de configuración en el sistema en el que se ejecuta el intermediario.
    • Asegúrese de que todos los ID estén en minúsculas de forma que sean compatibles entre sistemas.

Cambios en la seguridad de intermediario con Windows 2000 y Windows XP

Inicio del cambioEn Windows 2000 y Windows XP, el ID de usuario de servicio debe ser miembro del grupo mqbrkrs y opcionalmente miembro del grupo Administradores. Como miembro del grupo Administradores, el ID de usuario de servicio tiene permiso para acceder a las claves de registro del intermediario, de modo que puede acceder a la información del intermediario. Si el ID de usuario no pertenece al grupo Administradores, puede editar el registro de Windows, de modo que el ID de usuario de servicio pueda acceder a las claves de registro sin tener los permisos de Administradores. Fin del cambio

Inicio del cambioPara editar el registro en Windows 2000 y Windows XP:Fin del cambio

Conceptos relacionados
Autorización de acceso a los recursos de tiempo de ejecución
Tareas relacionadas
Configuración de la seguridad del dominio de intermediarios
Habilitación de la seguridad basada en temas
Referencia relacionada
Mandato mqsicreateaclentry
Mandato mqsideleteaclentry
Mandato mqsilistaclentry
Avisos | Marcas registradas | Descargas | Biblioteca | Soporte | Su opinión
Copyright IBM Corporation 1999, 2006 Última actualización: 22/08/2006
ap08683_