Requisitos de seguridad para las plataformas Windows

Los requisitos de seguridad dependen de la tarea administrativa que desea realizar.

En la siguiente tabla se resumen los requisitos para las tareas administrativas. Muestra qué pertenencia a grupo es necesaria si utiliza un dominio de seguridad local definido en el sistema local SALONE, un dominio primario denominado PRIMARY o un dominio fiable denominado TRUSTED. En esta tabla se da por supuesto que el Gestor de configuración y el Servidor de nombres de usuario se han creado con el mismo dominio de seguridad.

El usuario está... Dominio local (SALONE) Dominio primario (PRIMARY) / Windows Un único dominio (PRIMARY) Dominio fiable (TRUSTED) / Windows Dominio padre/hijo en árbol de dominio (TRUSTED)
Creando un intermediario, un Gestor de configuración, un Servidor de nombres de usuario o una base de datos (con mqsicreatedb)
  • Debe ser un ID de usuario definido en SALONE
  • Miembro de Administradores
  • Debe ser un ID de usuario definido en PRIMARY
  • Miembro de SALONE\Administradores
  • Debe ser un ID de usuario definido en TRUSTED
  • Miembro de SALONE\Administradores
Cambiando un intermediario, un Gestor de configuración, un Servidor de nombres de usuario o un DatabaseInstanceMgr
  • Debe ser un ID de usuario definido en SALONE
  • Miembro de Administradores
  • Debe ser un ID de usuario definido en PRIMARY
  • Miembro de SALONE\Administradores
  • Debe ser un ID de usuario definido en TRUSTED
  • Miembro de SALONE\Administradores
Suprimiendo un intermediario, un Gestor de configuración, un Servidor de nombres de usuario o una base de datos (con mqsideletedb)
  • Miembro de Administradores
  • Miembro de SALONE\Administradores
  • Miembro de SALONE\Administradores
Inicio del cambioIniciando un intermediario, un Gestor de configuración, un Servidor de nombres de usuario o un DatabaseInstanceMgr, o ejecutando el mandato de verificación mqsicvpFin del cambio Inicio del cambio
  • Miembro de Administradores
Fin del cambio
Inicio del cambio
  • Miembro de SALONE\Administradores
Fin del cambio
Inicio del cambio
  • Miembro de SALONE\Administradores
Fin del cambio
Listando a un intermediario, Gestor de configuración, un Servidor de nombres de usuario o un DatabaseInstanceMgr
  • Debe ser un ID de usuario definido en SALONE
  • El ID de usuario debe tener autorización para consultar los valores de registro bajo la entrada WebSphereMQIntegrator del registro.
  • Miembro de mqbrkrs si se está emitiendo el mandato: mqsilist nombre_intermediario nombre_grupo_ejecución
  • Debe ser un ID de usuario definido en PRIMARY
  • El ID de usuario debe tener autorización para consultar los valores de registro bajo la entrada WebSphereMQIntegrator del registro.
  • Miembro de PRIMARY\Domain mqbrkrs si se está emitiendo el mandato: mqsilist nombre_intermediario nombre_grupo_ejecución
  • Debe ser un ID de usuario definido en TRUSTED
  • El ID de usuario debe tener autorización para consultar los valores de registro bajo la entrada WebSphereMQIntegrator del registro.
  • Miembro de TRUSTED\Domain mqbrkrs si se está emitiendo el mandato: mqsilist nombre_intermediario nombre_grupo_ejecución
Cambiando, visualizando, recuperando información de rastreo
  • Debe ser un ID de usuario definido en SALONE
  • Miembro de mqbrkrs
  • Debe ser un ID de usuario definido en PRIMARY
  • Miembro de PRIMARY\Dominio mqbrkrs
  • Debe ser un ID de usuario definido en TRUSTED
  • Miembro de TRUSTED\Dominio mqbrkrs
Ejecutando un Servidor de nombres de usuario (ID de usuario de servicio)
  • Debe ser un ID de usuario definido en SALONE
  • Miembro de mqbrkrs
  • Inicio del cambioDebe tener el privilegio Inicio de sesión como un servicio en la política de seguridad local de WindowsFin del cambio
  • Debe ser un ID de usuario definido en PRIMARY
  • Miembro de PRIMARY\Dominio mqbrkrs
  • Inicio del cambioDebe tener el privilegio Inicio de sesión como un servicio en la política de seguridad local de WindowsFin del cambio
  • Debe ser un ID de usuario definido en TRUSTED
  • Miembro de TRUSTED\Dominio mqbrkrs
  • Inicio del cambioDebe tener el privilegio Inicio de sesión como un servicio en la política de seguridad local de WindowsFin del cambio
Ejecutando un DatabaseInstanceMgr (ID de usuario de servicio)
  • Debe ser un ID de usuario definido en SALONE
  • Miembro de mqbrkrs
  • Debe ser un ID de usuario definido en PRIMARY
  • Miembro de PRIMARY\Dominio mqbrkrs
  • Debe ser un ID de usuario definido en TRUSTED
  • Miembro de TRUSTED\Dominio mqbrkrs
Ejecutando un Gestor de configuración (ID de usuario de servicio)
  • Debe ser un ID de usuario definido en SALONE
  • Miembro de mqbrkrs
  • Miembro de mqm
  • Miembro de Administradores
  • Inicio del cambioDebe tener el privilegio Inicio de sesión como un servicio en la política de seguridad local de WindowsFin del cambio
  • Debe ser un ID de usuario definido en PRIMARY
  • Miembro de PRIMARY\Dominio mqbrkrs
  • Miembro de SALONE\mqm 1
  • Miembro de SALONE/Administradores
  • Inicio del cambioDebe tener el privilegio Inicio de sesión como un servicio en la política de seguridad local de WindowsFin del cambio
  • Debe ser un ID de usuario definido en TRUSTED
  • Miembro de TRUSTED\Dominio mqbrkrs
  • Miembro de SALONE\mqm2
  • Miembro de SALONE/Administradores
  • Inicio del cambioDebe tener el privilegio Inicio de sesión como un servicio en la política de seguridad local de WindowsFin del cambio
Ejecutando un intermediario (vía de acceso rápida de WebSphere MQ desactivada) (ID de usuario de servicio)
  • Debe ser un ID de usuario definido en SALONE
  • Miembro de mqbrkrs
  • Inicio del cambioDebe tener el privilegio Inicio de sesión como un servicio en la política de seguridad local de WindowsFin del cambio
  • Debe ser un ID de usuario definido en PRIMARY
  • Miembro de PRIMARY\Dominio mqbrkrs
  • Inicio del cambioDebe tener el privilegio Inicio de sesión como un servicio en la política de seguridad local de WindowsFin del cambio
  • Debe ser un ID de usuario definido en TRUSTED
  • Miembro de TRUSTED\Dominio mqbrkrs
  • Inicio del cambioDebe tener el privilegio Inicio de sesión como un servicio en la política de seguridad local de WindowsFin del cambio
Ejecutando un intermediario (vía de acceso rápida de WebSphere MQ activada) (ID de usuario de servicio)
  • Debe ser un ID de usuario definido en SALONE
  • Miembro de mqbrkrs
  • Miembro de mqm
  • Inicio del cambioDebe tener el privilegio Inicio de sesión como un servicio en la política de seguridad local de WindowsFin del cambio
  • Debe ser un ID de usuario definido en PRIMARY
  • Miembro de PRIMARY\Dominio mqbrkrs
  • Miembro de SALONE\mqm
  • Inicio del cambioDebe tener el privilegio Inicio de sesión como un servicio en la política de seguridad local de WindowsFin del cambio
  • Debe ser un ID de usuario definido en TRUSTED
  • Miembro de TRUSTED\Dominio mqbrkrs
  • Miembro de SALONE\mqm
  • Inicio del cambioDebe tener el privilegio Inicio de sesión como un servicio en la política de seguridad local de WindowsFin del cambio
Borrando, uniendo o listando intermediarios de WebSphere MQ Publicación/Suscripción
  • Debe ser un ID de usuario definido en SALONE
  • Miembro de mqbrkrs
  • Debe ser un ID de usuario definido en PRIMARY
  • Miembro de PRIMARY\Dominio mqbrkrs
  • Debe ser un ID de usuario definido en TRUSTED
  • Miembro de TRUSTED\Dominio mqbrkrs
Ejecutando un Kit de herramientas de Message Brokers3
  • Debe ser un ID de usuario definido en SALONE4. Por ejemplo, SALONE\User1 es válido, PRIMARY\User2 y TRUSTED\User3 no lo son.
  • Independientemente de si la detección de dominio está habilitada, al utilizar las ACL de Kit de herramientas de Message Brokers, los ID de usuario deben ser miembros de cualquier grupo de ACL local creado en SALONE.
  • Independientemente de si la detección de dominio está habilitada, al utilizar las ACL de Kit de herramientas de Message Brokers, los ID de usuario deben ser miembros de cualquier grupo de ACL local creado en SALONE.
Ejecutando aplicaciones de publicación/suscripción
  • Debe ser un ID de usuario definido en SALONE. Por ejemplo, SALONE\User1 es válido, PRIMARY\User2 y TRUSTED\User3 no lo son.
  • Debe ser un ID de usuario definido en PRIMARY. Por ejemplo, PRIMARY\User2 es válido, SALONE\User1 y TRUSTED\User3 no lo son.
  • Debe ser un ID de usuario definido en TRUSTED. Por ejemplo, TRUSTED\User3 es válido, SALONE\User1 y PRIMARY\User2 no lo son.
Notas:
  1. Si ejecuta un dominio primario, también puede:
    • Definir el ID de usuario en el dominio PRIMARY.
    • Añadir este ID al grupo PRIMARY\Dominio mqm.
    • Añadir el grupo PRIMARY\Dominio mqm al grupo SALONE\mqm.
  2. Si ejecuta en un dominio fiable, también puede:
    • Definir el ID de usuario en el dominio TRUSTED.
    • Añadir este ID al grupo TRUSTED\Dominio mqm.
    • Añadir el grupo TRUSTED\Dominio mqm al grupo SALONE\mqm.
  3. Todos los usuarios del Kit de herramientas de Message Brokers necesitan acceso de lectura al subdirectorio WebSphere MQ java \lib del directorio inicial de WebSphere MQ (la ubicación predeterminada es X:\Archivos de programa \WebSphere MQ , donde X: es el disco del sistema operativo). Este acceso está restringido a los usuarios del grupo local mqm porWebSphere MQ. La instalación de WebSphere Message Broker altera temporalmente esta restricción y proporciona acceso de lectura para este subdirectorio a todos los usuarios.
  4. Si se ha definido un ID de usuario válido en el dominio que utiliza el Gestor de configuración (por ejemplo, PRIMARY\User4), un usuario idéntico definido en otro dominio (por ejemplo, DOMAIN2\User4) puede acceder al Kit de herramientas de Message Brokers con las autorizaciones de PRIMARY\User4.
También se aplican las notas generales siguientes:
  1. Asegúrese de que el ID de usuario de servicio tiene el acceso necesario a los directorios pertinentes del árbol de directorios del producto; por ejemplo, acceso de escritura al directorio de anotaciones. Si se ha establecido una vía de acceso de trabajo para cualquier componente distinta al valor predeterminado, asegúrese de que el ID de usuario de servicios tiene el acceso adecuado a esta ubicación.
  2. Si está ejecutado un Gestor de configuración con un ID de usuario y un intermediario con un ID de usuario diferente en otro sistema, es posible que vea un mensaje de error al intentar desplegar flujos de mensajes y conjuntos de mensajes en el intermediario. Para evitar este error:
    • Asegúrese de que el ID de usuario del intermediario es miembro de los grupos mqm y mqbrkrs.
    • Defina el ID de usuario del intermediario en el sistema en el que se ejecuta el Gestor de configuración.
    • Defina el ID de usuario del Gestor de configuración en el sistema en el que se está ejecutando el intermediario.
    • Asegúrese de que todos los ID de usuario estén en minúsculas de forma que sean compatibles entre sistemas.

Requisitos de seguridad del intermediario en Windows XP y Windows Server 2003

En Windows XP y Windows Server 2003, el ID de usuario de servicio debe ser miembro del grupo mqbrkrs y opcionalmente miembro del grupo Administradores. Como miembro del grupo Administradores, el ID de usuario de servicio tiene permiso para acceder a las claves de registro del intermediario, de modo que puede acceder a la información del intermediario. Si el ID de usuario no pertenece al grupo Administradores, puede editar el registro de Windows de modo que el ID de usuario de servicio pueda acceder a las claves de registro sin tener permisos de los Administradores.

Las instrucciones para ambos sistemas operativos son idénticas excepto en los casos indicados.

  1. Pulse Inicio > Ejecutar, entre regedit y pulse Aceptar. Se abre el Editor de registro.
  2. Vaya a HKEY_LOCAL_MACHINE\SOFTWARE\IBM\WebSphereMQIntegrator en el panel izquierdo.
  3. Pulse el botón derecho del ratón en WebSphereMQIntegrator y seleccione Permisos. Se abre la ventana Permisos de WebSphereMQIntegrator.
  4. Pulse Agregar debajo de la lista de nombres de grupo o usuarios. Se abre la ventana Seleccionar usuarios o grupos.
  5. Pulse Avanzadas y luego Buscar ahora para listar los usuarios y grupos actuales. En la lista, seleccione el grupo mqbrkrs para resaltarlo y pulse Aceptar dos veces.
  6. Pulse Avanzadas en la ventana Permisos para WebSphereMQIntegrator para establecer permisos especiales. Se abre la ventana Configuración de seguridad avanzada para WebSphereMQIntegrator.
  7. Resalte mqbrkrs y pulse Modificar. Se abre la ventana Entrada de permiso para WebSphereMQIntegrator.
  8. Seleccione Establecer valor, Crear subclave y Eliminar y pulse Aceptar.
  9. Asegúrese en Windows Server 2003 de que Permitir permisos heredables está seleccionado o en Windows XP que Heredar de primario está seleccionado y pulse Aceptar.
  10. Pulse Aceptar para cerrar las ventanas restantes y, a continuación, el Editor del registro.
Conceptos relacionados
Seguridad de recursos de ejecución: listas de control de acceso
Tareas relacionadas
Configuración de la seguridad para los componentes del dominio
Configuración de la seguridad del dominio de intermediarios
Habilitación de la seguridad basada en temas
Referencia relacionada
Mandato mqsicreateaclentry
Mandato mqsideleteaclentry
Mandato mqsilistaclentry
Avisos | Marcas registradas | Descargas | Biblioteca | Soporte | Su opinión

Copyright IBM Corporation 1999, 2009Copyright IBM Corporation 1999, 2009.
Última actualización : 2009-02-16 13:55:55

ap08683_