ワークベンチのセキュリティーの考慮

このタスクでは、 ワークベンチで以下のアクションを実行することのできるユーザーを決定するための要因について考慮します。

次の点を考慮してください。

  1. ドメイン認識を使用可能にして実行していますか ?
  2. ドメイン認識を使用不可にして実行していますか ?
  3. ワークベンチと構成マネージャーの間のチャネルの固定

ワークベンチを実行するユーザーの ID を、8 文字以下の長さにしてください。

ドメイン認識を使用可能にして実行していますか ?

ドメイン認識を使用可能にして実行するようお勧めします。 このオプションを使用すると、ワークベンチ・ユーザーのドメイン情報は、セキュリティーを高める目的で構成マネージャーへのユーザー ID を使用してフローされます。 DOMAIN1 というドメインのメンバーである WKSTN1 というコンピューター上で構成マネージャーを実行していると仮定します。DOMAIN2 のユーザーもワークベンチを使用したいと思います。以下のステップを実行します。

  1. すべてのドメイン・ユーザーまたはグループを、ACL で使用するローカル・グループ名に追加する必要があります。

  2. 構成マネージャーを作成する際には、mqsicreateaclentry コマンドで -m オプションを使用して、ユーザーを検査する際にドメインが考慮されるようにしてください。

ワークベンチを開始すると、 これが自動的にユーザーのユーザー ID のドメイン情報を構成マネージャーに送信します。ドメイン情報にアクセスするには、構成マネージャーにおいてドメイン認識を使用可能にします。

注: 構成マネージャーの実行時に使用しているユーザー ID と別のコンピューター上でブローカーの実行時に使用しているユーザー ID が違う場合は、メッセージ・フローおよびメッセージ・セットをブローカーにデプロイしようとするとエラー・メッセージが表示されることがあります。表示されないようにするには、以下のことを行ってください。
  • ブローカーのユーザー ID が mqm および mqbrkrs グループのメンバーであることを確認します。
  • 構成マネージャーを実行しているコンピューター上で、ブローカーのユーザー ID を定義します。
  • ブローカーを実行しているコンピューター上で、構成マネージャーのユーザー ID を定義します。
  • すべての ID が小文字で、コンピューター間で互換性があることを確認します。

ドメイン認識を使用不可にして実行していますか ?

ドメイン認識を使用不可に設定できますが、このオプションを使用して実行することは、ワークベンチ・ユーザーのドメイン情報がユーザー ID 情報を使用してフローされないため、セキュリティーが低くなることを意味します。 そのため、ドメイン認識を使用可能にして実行するようお勧めします。

mqsicreateaclentry コマンドで -a オプションを使用すると、ドメインを考慮せずにユーザーを検査できます。

ドメイン認識を使用不可に設定する場合、以下の質問に回答する必要があります。

  1. ワークベンチ・ユーザーは、ローカル・ドメインに所属していますか ?
    1. いいえ: 次の質問に進みます。
    2. はい: すべてのユーザーを、ACL で使用するローカル・グループ名に追加します。

      ワークベンチと構成マネージャーの間のチャネルの固定 に進みます。

  2. ワークベンチ・ユーザーは、他のドメインに所属していますか ?
    1. はい: 他のドメインを構成マネージャーのコンピューターのトラステッド・ドメインにしてから、グループおよびユーザーをそのトラステッド・ドメインから構成マネージャーのローカル・グループに追加します。

追加のセキュリティーとして、 ドメイン認識とセキュリティー出口の両方を使用可能にして実行します。 セキュリティー出口の詳細については、セキュリティー出口を参照してください。

ツールキットのドメイン認識をオフにする

ツールキットは、構成マネージャー上のドメイン認識の設定に関係なく、ユーザーおよびドメイン名を構成マネージャーのキュー・マネージャーに送信します。したがって、メッセージの接続、挿入、または取得にセキュリティーが必要であるために、キュー・マネージャーへの接続に問題が生じることがあります。

ツールキットのドメイン認識をオフにするには、以下の方法でツールキットを実行してください。
  1. install_dir¥eclipse ディレクトリーに移動します。
  2. コマンド mqsistudio -vmargs -DDomainAware=0 を使用してツールキットを実行します。
代わりの方法として、ツールキットを実行するショートカットに変更を加えて、-vmargs -DDomainAware=0 を追加します。

ワークベンチと構成マネージャーの間のチャネルの固定 に進みます。

ワークベンチ構成マネージャーの間のチャネルの固定

接続のワークベンチ側の終端と構成マネージャー側の終端で実行するセキュリティー出口のペアを作成し、 使用可能にします。構成マネージャー・コンピューター上の Windows セキュリティー・マネージャーで、これらの出口を使用してワークベンチ・ユーザーを検査します。
セキュリティー出口の作成と使用可能化の詳細については、 セキュリティー出口を参照してください。
特記事項 | 商標 | ダウンロード | ライブラリー | サポート | フィードバック
Copyright IBM Corporation 1999, 2006 最終更新: 08/21/2006
ap03985_