Sicherheitsanforderungen für Windows-Plattformen

Die folgende Tabelle enthält eine Zusammenfassung der Sicherheitsanforderungen für die WebSphere Message Broker-Verwaltungsaufgaben. Sie zeigt, welche Gruppenzugehörigkeit erforderlich ist, wenn Sie eine auf dem lokalen System SALONE definierte lokale Sicherheitsdomäne, eine primäre Domäne mit dem Namen PRIMARY bzw. eine vertraute Domäne mit dem Namen TRUSTED verwenden. Bei den Angaben in dieser Tabelle wird vorausgesetzt, dass Sie den Konfigurationsmanager und den Benutzernamensserver mit derselben Sicherheitsdomäne erstellt haben.

Benutzeraktion Lokale Domäne (SALONE) Primäre Domäne (PRIMARY) / Windows-Einzeldomäne (PRIMARY) Vertraute Domäne (TRUSTED) / Übergeordnete/untergeordnete Windows-Domäne in Domänenstruktur (TRUSTED)
Erstellen eines Brokers, Konfigurationsmanagers, Benutzernamensserver oder einer Datenbank (mitmqsicreatedb)
  • Muss in SALONE definierte Benutzer-ID sein
  • Mitglied von Administratoren
  • Muss in PRIMARY definierte Benutzer-ID sein
  • Mitglied von SALONE\Administratoren
  • Muss in TRUSTED definierte Benutzer-ID sein
  • Mitglied von SALONE\Administratoren
Ändern eines Brokers, Konfigurationsmanagers, Benutzernamensserver, DatabaseInstanceMgr
  • Muss in SALONE definierte Benutzer-ID sein
  • Mitglied von Administratoren
  • Muss in PRIMARY definierte Benutzer-ID sein
  • Mitglied von SALONE\Administratoren
  • Muss in TRUSTED definierte Benutzer-ID sein
  • Mitglied von SALONE\Administratoren
Löschen eines Brokers, Konfigurationsmanagers, Benutzernamensserver oder einer Datenbank (mitmqsideletedb)
  • Mitglied von Administratoren
  • Mitglied von SALONE\Administratoren
  • Mitglied von SALONE\Administratoren
Starten eines Brokers, Konfigurationsmanagers, Benutzernamensserver oder DatabaseInstanceMgr
  • Mitglied von Administratoren
  • Mitglied von SALONE\Administratoren
  • Mitglied von SALONE\Administratoren
Auflisten eines Brokers, Konfigurationsmanagers, Benutzernamensserver oder DatabaseInstanceMgr
  • Muss in SALONE definierte Benutzer-ID sein
  • Benutzer-ID muss über die Berechtigung zum Abfragen der Werte unter dem Eintrag WebSphereMQIntegrator in der Registry verfügen.
  • Mitglied von mqbrkrs für Ausgabe des folgenden Befehls: mqsilist <Brokername><Name der Ausführungsgruppe>.
  • Muss in PRIMARY definierte Benutzer-ID sein
  • Benutzer-ID muss über die Berechtigung zum Abfragen der Werte unter dem Eintrag WebSphereMQIntegrator in der Registry verfügen.
  • Mitglied von PRIMARY\Domain mqbrkrs für Ausgabe des folgenden Befehls: mqsilist <Brokername><Namen der Ausführungsgruppe>.
  • Muss in TRUSTED definierte Benutzer-ID sein
  • Benutzer-ID muss über die Berechtigung zum Abfragen der Werte unter dem Eintrag WebSphereMQIntegrator in der Registry verfügen.
  • Mitglied von TRUSTED\Domain mqbrkrs für Ausgabe des folgenden Befehls: mqsilist <Brokername><Namen der Ausführungsgruppe>.
Trace-Informationen ändern, anzeigen oder abrufen
  • Muss in SALONE definierte Benutzer-ID sein
  • Mitglied von mqbrkrs
  • Muss in PRIMARY definierte Benutzer-ID sein
  • Mitglied von PRIMARY\Domain mqbrkrs
  • Muss in TRUSTED definierte Benutzer-ID sein
  • Mitglied von TRUSTED\Domain mqbrkrs
Benutzernamensserver ausführen (Servicebenutzer-ID)
  • Muss in SALONE definierte Benutzer-ID sein
  • Mitglied von mqbrkrs
  • Muss in PRIMARY definierte Benutzer-ID sein
  • Mitglied von PRIMARY\Domain mqbrkrs
  • Muss in TRUSTED definierte Benutzer-ID sein
  • Mitglied von TRUSTED\Domain mqbrkrs
DatabaseInstanceMgr ausführen (Servicebenutzer-ID)
  • Muss in SALONE definierte Benutzer-ID sein
  • Mitglied von mqbrkrs
  • Muss in PRIMARY definierte Benutzer-ID sein
  • Muss zur Gruppe PRIMARY\Domain mqbrkrs gehören
  • Muss in TRUSTED definierte Benutzer-ID sein
  • Muss zur Gruppe TRUSTED\Domain mqbrkrs gehören
Konfigurationsmanager ausführen (Servicebenutzer-ID)
  • Muss in SALONE definierte Benutzer-ID sein
  • Mitglied von mqbrkrs
  • Mitglied von mqm
  • Mitglied von Administratoren
  • Muss in PRIMARY definierte Benutzer-ID sein
  • Mitglied von PRIMARY\Domain mqbrkrs
  • Mitglied von SALONE\mqm (siehe Hinweis 1)
  • Mitglied von SALONE/Administratoren
  • Muss in TRUSTED definierte Benutzer-ID sein
  • Mitglied von TRUSTED\Domain mqbrkrs
  • Mitglied von SALONE\mqm (siehe Hinweis 2)
  • Mitglied von SALONE/Administratoren
Broker ausführen (WebSphere MQ-Direktaufruf deaktiviert) (Servicebenutzer-ID)
  • Muss in SALONE definierte Benutzer-ID sein
  • Mitglied von mqbrkrs
  • Muss in PRIMARY definierte Benutzer-ID sein
  • Mitglied von PRIMARY\Domain mqbrkrs
  • Muss in TRUSTED definierte Benutzer-ID sein
  • Mitglied von TRUSTED\Domain mqbrkrs
Broker ausführen (WebSphere MQ-Direktaufruf aktiviert) (Servicebenutzer-ID)
  • Muss in SALONE definierte Benutzer-ID sein
  • Mitglied von mqbrkrs
  • Mitglied von mqm
  • Muss in PRIMARY definierte Benutzer-ID sein
  • Mitglied von PRIMARY\Domain mqbrkrs
  • Mitglied von SALONE\mqm
  • Muss in TRUSTED definierte Benutzer-ID sein
  • Mitglied von TRUSTED\Domain mqbrkrs
  • Mitglied von SALONE\mqm
Löschen, Verknüpfen oder Auflisten von WebSphere MQ Publish/Subscribe-Brokern
  • Muss in SALONE definierte Benutzer-ID sein
  • Mitglied von mqbrkrs
  • Muss in PRIMARY definierte Benutzer-ID sein
  • Mitglied von PRIMARY\Domain mqbrkrs
  • Muss in TRUSTED definierte Benutzer-ID sein
  • Mitglied von TRUSTED\Domain mqbrkrs
Ausführen eines Message Brokers Toolkits (siehe Hinweis 3)
  • Muss in SALONE definierte Benutzer-ID sein (siehe Hinweis 4). Beispiel: SALONE\User1 ist gültig, PRIMARY\User2 und TRUSTED\User3 sind ungültig.
  • Sowohl bei aktivierter als auch inaktivierter Domänenüberprüfung müssen Benutzer-IDs Mitglieder von beliebigen, auf SALONE erstellten lokalen ACL-Gruppen sein, wenn Message Brokers Toolkit verwendet wird.
  • Sowohl bei aktivierter als auch inaktivierter Domänenüberprüfung müssen Benutzer-IDs Mitglieder von beliebigen, auf SALONE erstellten lokalen ACL-Gruppen sein, wenn Message Brokers Toolkit verwendet wird.
Publish/Subscribe-Anwendungen ausführen
  • Muss in SALONE definierte Benutzer-ID sein. Beispiel: SALONE\User1 ist gültig, PRIMARY\User2 und TRUSTED\User3 sind ungültig.
  • Muss in PRIMARY definierte Benutzer-ID sein. Beispiel: PRIMARY\User2 ist gültig, SALONE\User1 und TRUSTED\User3 sind ungültig.
  • Muss in TRUSTED definierte Benutzer-ID sein. Beispiel: TRUSTED\User3 ist gültig, SALONE\User1 und PRIMARY\User2 sind ungültig.
Hinweise:
  1. Bei Ausführung in einer primären Domäne können Sie auch folgende Aktionen ausführen:
    • Definieren Sie die Benutzer-ID in der Domäne PRIMARY.
    • Fügen Sie diese ID zu der Gruppe PRIMARY\Domain mqm hinzu.
    • Fügen Sie die Gruppe PRIMARY\Domain mqm zu der Gruppe SALONE\mqm hinzu.
  2. Bei Ausführung in einer vertrauenswürdigen Domäne können Sie auch folgende Aktionen ausführen:
    • Definieren Sie die Benutzer-ID in der Domäne TRUSTED.
    • Fügen Sie diese ID zu der Gruppe TRUSTED\Domain mqm hinzu.
    • Fügen Sie die Gruppe TRUSTED\Domain mqm zu der Gruppe SALONE\mqm hinzu.
  3. Für alle Benutzer von Message Brokers Toolkit ist ein Lesezugriff auf das WebSphere MQ Java-Unterverzeichnis \lib des Ausgangsverzeichnisses WebSphere MQ erforderlich (der Standardpfad lautet X:\Programmdateien \WebSphere MQ, dabei ist X das Laufwerk, auf dem sich das Betriebssystem befindet). Dieser Zugriff ist durch WebSphere MQ auf Benutzer beschränkt, die zur lokalen Gruppe mqm gehören. Diese Einschränkung wird von WebSphere Message Broker außer Kraft gesetzt; alle Benutzer erhalten Lesezugriff auf dieses Unterverzeichnis.
  4. Wenn in der vom Konfigurationsmanager verwendeten Domäne eine gültige Benutzer-ID (z. B. PRIMARY\User4) definiert ist, kann ein in einer anderen Domäne definierter Benutzer (z. B. DOMAIN2\User4) mit den Berechtigungen von Benutzer PRIMARY\User4 auf Message Brokers Toolkit zugreifen.
  5. Stellen Sie sicher, dass die Servicebenutzer-ID über die erforderlichen Zugriffsberechtigungen für die relevanten Verzeichnisse in der Produktverzeichnisstruktur verfügt (z. B. Schreibzugriff auf das Protokollverzeichnis). Wenn für eine beliebige Komponente ein anderer Arbeitspfad als der Standardarbeitspfad festgelegt wurde, müssen Sie sicherstellen, dass die Servicebenutzer-ID über die entsprechenden Zugriffsberechtigungen für diesen Standort verfügt.
  6. Wenn Sie einen Konfigurationsmanager mit einer bestimmten Benutzer-ID und einen Broker mit einer anderen Benutzer-ID auf einem anderen Computer ausführen, wird möglicherweise eine Fehlernachricht angezeigt, wenn Sie versuchen, Nachrichtenflüsse und Nachrichtengruppen im Broker einzusetzen. Dies können Sie wie folgt vermeiden:
    • Stellen Sie sicher, dass die Benutzer-ID des Brokers ein Mitglied der Gruppen mqm und mqbrkrs ist.
    • Definieren Sie die Benutzer-ID des Brokers auf dem Computer, auf dem der Konfigurationsmanager aktiv ist.
    • Definieren Sie die Benutzer-ID des Konfigurationsmanagers auf dem Computer, auf dem der Broker aktiv ist.
    • Stellen Sie sicher, dass alle IDs in Kleinbuchstaben geschrieben werden, damit sie zwischen den Computern kompatibel sind.

Geänderte Brokersicherheit für Windows 2000 und Windows XP

Beginn der ÄnderungAuf Windows 2000 und Windows XP muss die Benutzer-ID zur Gruppe mqbrkrs und optional zur Gruppe Administrators gehören. Als Mitglied der Gruppe Administrators verfügt die Servicebenutzer-ID über die Berechtigung für den Zugriff auf Registrierungsschlüssel des Brokers, um auf Brokerinformationen zuzugreifen. Wenn die Servicebenutzer-ID nicht zur Gruppe Administrators gehört, können Sie die Windows-Registrierungsdatenbank so bearbeiten, dass die Servicebenutzer-ID auf die Registrierungsschlüssel zugreifen kann, ohne über Administratorberechtigungen zu verfügen. Ende der Änderung

Beginn der ÄnderungSo bearbeiten Sie die Registrierungsdatenbank bei Windows 2000 und Windows XP: Ende der Änderung

Zugehörige Konzepte
Berechtigung für Zugriff auf Laufzeitressourcen
Zugehörige Tasks
Sicherheit für die Brokerdomäne einrichten
Themenspezifische Sicherheit aktivieren
Zugehörige Verweise
Befehl mqsicreateaclentry
Befehl 'mqsideleteaclentry'
Befehl 'mqsilistaclentry'
Bemerkungen | Marken | Downloads | Bibliothek | Unterstützung | Rückmeldung
Copyright IBM Corporation 1999, 2006 Letzte Aktualisierung: 23. Aug. 2006
ap08683_