構成マネージャーのセキュリティーの考慮

変更の始まり構成マネージャーと関連したタスクを実行するためにユーザー ID に必要なセキュリティー特性とグループ・メンバーシップを判別します。変更の終わり

変更の始まり以下の機能を実行するユーザー ID に必要な特性とグループ・メンバーシップを考慮します。
  • (構成マネージャーを実行する) サービス・ユーザー ID として実行する。
  • 構成マネージャー コマンドを処理する。
  • 構成マネージャー・キューにアクセスする。
変更の終わり

ACL は構成マネージャー自体に関連しています。 構成マネージャーの ACL のフル・コントロール・メンバーシップを持っているユーザーまたはグループには、他のすべての ACL のフル・コントロール・メンバーシップを暗黙的に有しています。また、ユーザーまたはグループが構成マネージャーの ACL のフル・コントロール・メンバーシップを持っていれば、構成マネージャーを含むどのオブジェクトの ACL にも変更を加えることもできます。

以下のリストの該当するセクションをお読みください。

  1. 構成マネージャー・コマンドを実行できるユーザーを決定する
  2. 構成マネージャー・サービス ID として使用するユーザー・アカウントを決定する
  3. 構成マネージャーのキューのセキュリティーの設定
  4. ドメイン環境での構成マネージャーの実行

構成マネージャー・コマンドを実行できるユーザーを決定する

このタスクでは、以下を行うユーザー ID に必要な許可を決定します。
  • 構成マネージャーの作成、変更、リスト、削除、開始、および停止
  • トレース情報の表示、検索、および変更

以下の質問に回答します。

  1. 変更の始まり構成マネージャーは Linux® または UNIX® オペレーティング・システムで実行されていますか ?
    1. いいえ: 次の質問に進みます。
    2. はい: ユーザー ID が mqbrkrs グループのメンバーであることを確認します。

      構成マネージャー・サービス ID として使用するユーザー・アカウントを決定するに進みます。

    変更の終わり
  2. Windows® ローカル・アカウントの下で構成マネージャー・コマンドを実行しますか ?
    1. いいえ: 次の質問に進みます。
    2. はい: 仮にローカル・アカウントが WKSTN1 というコンピューター上にあるとします。構成マネージャーを作成する際に、ユーザー ID がローカル・ドメインで定義されていることを確認します。 構成マネージャー を作成または開始する際に、ユーザー ID が WKSTN1¥Administrators のメンバーであることを確認します。

      構成マネージャー・サービス ID として使用するユーザー・アカウントを決定するに進みます。

  3. Windows ドメイン・アカウントの下で構成マネージャー・コマンドを実行しますか ?
    1. はい: 仮に WKSTN1 というユーザーのコンピューターが DOMAIN1 というドメインのメンバーであるとして、例えば DOMAIN1¥user1 を使用して 構成マネージャー を作成するのであれば、DOMAIN1¥user1 が WKSTN1¥Administrators のメンバーであることを確認します。

      構成マネージャー・サービス ID として使用するユーザー・アカウントを決定するに進みます。

構成マネージャー・サービス ID として使用するユーザー・アカウントを決定する

変更の始まりmqsistart コマンドを mqm および mqbrkrs グループのメンバーであるユーザー ID によって実行する場合、mqsistart コマンドを実行するユーザー ID は、構成マネージャー・コンポーネント・プロセスを実行するユーザー ID になります。変更の終わり

以下の質問に回答します。

  1. 変更の始まり構成マネージャーは Linux または UNIX オペレーティング・システムで実行されていますか ?
    1. いいえ: 次の質問に進みます。
    2. はい: ユーザー ID が mqbrkrs グループのメンバーであることを確認します。

      構成マネージャーのキューのセキュリティーの設定に進みます。

    変更の終わり
  2. Windows ローカル・アカウントの下で構成マネージャーを実行しますか ?
    1. いいえ: 次の質問に進みます。
    2. はい:
      ユーザー ID が以下の特性を持つことを確認します。
      • ローカル・ドメインに定義されている。
      • mqbrkrs のメンバーである。
      • mqm のメンバーである。
      • Administrators のメンバーである。
      • 変更の始まりWindows のローカル・セキュリティー・ポリシーで、「サービスとしてログオン」特権を付与されている。 ローカル・セキュリティー・ポリシーには、「コントロール パネル」>「パフォーマンスとメンテナンス」>「管理ツール」>「ローカル セキュリティ ポリシー」と選択することによってアクセスできます。変更の終わり

      構成マネージャーのキューのセキュリティーの設定に進みます。

  3. Windows ドメイン・アカウントの下で構成マネージャーを実行しますか ?
    1. はい: 仮に WKSTN1 というユーザーのコンピューターが DOMAIN1 というドメインのメンバーであるとして、 例えば DOMAIN1¥user1 を使用して構成マネージャーを実行するのであれば、以下のことを確認します。
      1. 変更の始まりuser1 が DOMAIN1 に定義されている。変更の終わり
      2. DOMAIN1¥user1 が DOMAIN1¥Domain mqbrkrs のメンバーである。
      3. DOMAIN1¥user1 が WKSTN1¥mqm のメンバーである。
      4. DOMAIN1¥Domain mqbrkrs が WKSTN1¥mqbrkrs のメンバーである。
      5. DOMAIN1¥user1 が WKSTN1¥Administrators のメンバーである。
      6. 変更の始まりユーザー ID (user1) に、Windows のローカル・セキュリティー・ポリシーで、「サービスとしてログオン」特権を付与されている。 これには、「コントロール パネル」>「パフォーマンスとメンテナンス」>「管理ツール」>「ローカル セキュリティ ポリシー」と選択することによってアクセスできます。変更の終わり

      構成マネージャーのキューのセキュリティーの設定に進みます。

構成マネージャーのキューのセキュリティーの設定

変更の始まりmqsicreateconfigmgr コマンドを実行すると、 mqbrkrs グループには以下のキューへのアクセス権限が付与されます。
  • SYSTEM.BROKER.CONFIG.QUEUE
  • SYSTEM.BROKER.CONFIG.REPLY
  • SYSTEM.BROKER.ADMIN.REPLY
  • SYSTEM.BROKER.SECURITY.QUEUE
  • SYSTEM.BROKER.MODEL.QUEUE.
変更の終わり

変更の始まりブローカーおよびユーザー・ネーム・サーバーは、 これらのキューを介して構成マネージャーと通信します。 それが構成マネージャーと同じコンピューター上で実行される場合、 それらを通信可能にするためにさらに何かを行う必要はありません。 しかし、それらが別のコンピューター上で実行されている場合は、 そのサービス ID が構成マネージャーを実行しているコンピューター上に存在することを確認して、 そのユーザー・アカウントを mqbrkrs グループに追加するか、 またはメッセージを構成マネージャーのキューに入れるための MQ アクセス権限を明示的に付与する必要があります。変更の終わり

コマンドまたは Toolkit のどちらかを使用する管理者には、 メッセージを構成マネージャーのキューに入れるための権限が必要です。 mqsicreateaclentry コマンドを使用して、 WebSphere® MQ に対する必要なアクセス権限を作成できます。

ドメイン環境での構成マネージャーの実行

特記事項 | 商標 | ダウンロード | ライブラリー | サポート | フィードバック

Copyright IBM Corporation 1999, 2009Copyright IBM Corporation 1999, 2009.
最終更新 : 2009-02-20 12:44:22

ap03984_