Requisitos de Segurança para Plataformas Windows

Os requisitos de segurança dependem da tarefa administrativa que você deseja desempenhar.

A tabela a seguir resume os requisitos para tarefas administrativas. Ela mostra qual associação de grupo é necessária se você estiver utilizando um domínio de segurança local definido em seu sistema local SALONE, ou um domínio primário denominado PRIMARY, ou um domínio confiável denominado TRUSTED. O conteúdo desta tabela supõe que você tenha criado o Configuration Manager e o Servidor de Nome de Usuário com o mesmo domínio de segurança.

Usuário Está... Domínio Local (SALONE) Domínio Primário (PRIMARY) / Domínio Único do Windows (PRIMARY) Domínio Confiável (TRUSTED) / Domínio Pai/Filho do Windows na árvore de domínios (TRUSTED)
Criando um intermediário, Configuration Manager, Servidor de Nome de Usuário ou banco de dados (com mqsicreatedb)
  • Deve ser um ID do usuário definido em SALONE
  • Membro de Administradores
  • Deve ser um ID do usuário definido em PRIMARY
  • Membro de SALONE\Administrators
  • Deve ser um ID do usuário definido em TRUSTED
  • Membro de SALONE\Administrators
Alterando um intermediário, Configuration Manager, Servidor de Nome de Usuário, DatabaseInstanceMgr
  • Deve ser um ID do usuário definido em SALONE
  • Membro de Administradores
  • Deve ser um ID do usuário definido em PRIMARY
  • Membro de SALONE\Administrators
  • Deve ser um ID do usuário definido em TRUSTED
  • Membro de SALONE\Administrators
Excluindo um intermediário, Configuration Manager, Servidor de Nome de Usuário ou banco de dados (com mqsideletedb)
  • Membro de Administradores
  • Membro de SALONE\Administrators
  • Membro de SALONE\Administrators
Início da mudançaIniciando um intermediário, Configuration Manager, Servidor de Nome de Usuário ou DatabaseInstanceMgr, ou executando o comando de verificação mqsicvpFim da mudança Início da mudança
  • Membro de Administradores
Fim da mudança
Início da mudança
  • Membro de SALONE\Administrators
Fim da mudança
Início da mudança
  • Membro de SALONE\Administrators
Fim da mudança
Listando um intermediário, Configuration Manager, Servidor de Nome de Usuário ou DatabaseInstanceMgr
  • Deve ser um ID do usuário definido em SALONE
  • O ID do usuário deve ter autoridade para consultar os valores de registro na entrada WebSphereMQIntegrator no registro.
  • Membro de mqbrkrs se estiver emitindo o comando: mqsilist broker_name execution_group_name
  • Deve ser um ID do usuário definido em PRIMARY
  • O ID do usuário deve ter autoridade para consultar os valores de registro na entrada WebSphereMQIntegrator no registro.
  • Membro de PRIMARY\Domain mqbrkrs se estiver emitindo o comando: mqsilist broker_name execution_group_name
  • Deve ser um ID do usuário definido em TRUSTED
  • O ID do usuário deve ter autoridade para consultar os valores de registro na entrada WebSphereMQIntegrator no registro.
  • Membro de TRUSTED\Domain mqbrkrs se estiver emitindo o comando: mqsilist broker_name execution_group_name
Alterando, exibindo, recuperando informações de rastreio
  • Deve ser um ID do usuário definido em SALONE
  • Membro de mqbrkrs
  • Deve ser um ID do usuário definido em PRIMARY
  • Membro de PRIMARY\Domain mqbrkrs
  • Deve ser um ID do usuário definido em TRUSTED
  • Membro de TRUSTED\Domain mqbrkrs
Executando um Servidor de Nome de Usuário (ID do usuário de serviço)
  • Deve ser um ID do usuário definido em SALONE
  • Membro de mqbrkrs
  • Início da mudançaDeve ter o privilégio Efetuar Logon como um Serviço na Política de Segurança Local do WindowsFim da mudança
  • Deve ser um ID do usuário definido em PRIMARY
  • Membro de PRIMARY\Domain mqbrkrs
  • Início da mudançaDeve ter o privilégio Efetuar Logon como um Serviço na Política de Segurança Local do WindowsFim da mudança
  • Deve ser um ID do usuário definido em TRUSTED
  • Membro de TRUSTED\Domain mqbrkrs
  • Início da mudançaDeve ter o privilégio Efetuar Logon como um Serviço na Política de Segurança Local do WindowsFim da mudança
Executando um DatabaseInstanceMgr (ID do usuário de serviço)
  • Deve ser um ID do usuário definido em SALONE
  • Membro de mqbrkrs
  • Deve ser um ID do usuário definido em PRIMARY
  • Membro de PRIMARY\Domain mqbrkrs
  • Deve ser um ID do usuário definido em TRUSTED
  • Membro de TRUSTED\Domain mqbrkrs
Executando um Configuration Manager (ID do usuário de serviço)
  • Deve ser um ID do usuário definido em SALONE
  • Membro de mqbrkrs
  • Membro de mqm
  • Membro de Adminstrators
  • Início da mudançaDeve ter o privilégio Efetuar Logon como um Serviço na Política de Segurança Local do WindowsFim da mudança
  • Deve ser um ID do usuário definido em PRIMARY
  • Membro de PRIMARY\Domain mqbrkrs
  • Membro de SALONE\mqm 1
  • Membro de SALONE/Adminstrators
  • Início da mudançaDeve ter o privilégio Efetuar Logon como um Serviço na Política de Segurança Local do WindowsFim da mudança
  • Deve ser um ID do usuário definido em TRUSTED
  • Membro de TRUSTED\Domain mqbrkrs
  • Membro de SALONE\mqm2
  • Membro de SALONE/Adminstrators
  • Início da mudançaDeve ter o privilégio Efetuar Logon como um Serviço na Política de Segurança Local do WindowsFim da mudança
Executando um (atalho WebSphere MQ desativado) (ID do usuário de serviço)
  • Deve ser um ID do usuário definido em SALONE
  • Membro de mqbrkrs
  • Início da mudançaDeve ter o privilégio Efetuar Logon como um Serviço na Política de Segurança Local do WindowsFim da mudança
  • Deve ser um ID do usuário definido em PRIMARY
  • Membro de PRIMARY\Domain mqbrkrs
  • Início da mudançaDeve ter o privilégio Efetuar Logon como um Serviço na Política de Segurança Local do WindowsFim da mudança
  • Deve ser um ID do usuário definido em TRUSTED
  • Membro de TRUSTED\Domain mqbrkrs
  • Início da mudançaDeve ter o privilégio Efetuar Logon como um Serviço na Política de Segurança Local do WindowsFim da mudança
Executando um intermediário (atalho WebSphere MQ ativado) (ID do usuário de serviço)
  • Deve ser um ID do usuário definido em SALONE
  • Membro de mqbrkrs
  • Membro de mqm
  • Início da mudançaDeve ter o privilégio Efetuar Logon como um Serviço na Política de Segurança Local do WindowsFim da mudança
  • Deve ser um ID do usuário definido em PRIMARY
  • Membro de PRIMARY\Domain mqbrkrs
  • Membro de SALONE\mqm
  • Início da mudançaDeve ter o privilégio Efetuar Logon como um Serviço na Política de Segurança Local do WindowsFim da mudança
  • Deve ser um ID do usuário definido em TRUSTED
  • Membro de TRUSTED\Domain mqbrkrs
  • Membro de SALONE\mqm
  • Início da mudançaDeve ter o privilégio Efetuar Logon como um Serviço na Política de Segurança Local do WindowsFim da mudança
Limpando, unindo ou listando intermediários de Publicação/Assinatura do WebSphere MQ
  • Deve ser um ID do usuário definido em SALONE
  • Membro de mqbrkrs
  • Deve ser um ID do usuário definido em PRIMARY
  • Membro de PRIMARY\Domain mqbrkrs
  • Deve ser um ID do usuário definido em TRUSTED
  • Membro de TRUSTED\Domain mqbrkrs
Executando um Message Brokers Toolkit3
  • Deve ser um ID do usuário definido em SALONE4. Por exemplo, SALONE\User1 é válido, PRIMARY\User2 e TRUSTED\User3 não são.
  • Independentemente de o reconhecimento de domínio estar ativado, ao utilizar ACLs do Message Brokers Toolkit, os IDs do usuário devem ser membros de qualquer grupo de ACL local criado em SALONE.
  • Independentemente de o reconhecimento de domínio estar ativado, ao utilizar ACLs do Message Brokers Toolkit, os IDs do usuário devem ser membros de qualquer grupo de ACL local criado em SALONE.
Executando Aplicativos do Publicação/Assinatura
  • Deve ser um ID do usuário definido em SALONE. Por exemplo, SALONE\User1 é válido, PRIMARY\User2 e TRUSTED\User3 não são.
  • Deve ser um ID do usuário definido em PRIMARY. Por exemplo, PRIMARY\User2 é válido, SALONE\User1 e TRUSTED\User3 não são.
  • Deve ser um ID do usuário definido em TRUSTED. Por exemplo, TRUSTED\User3 é válido, SALONE\User1 e PRIMARY\User2 não são.
Notas:
  1. Se estiver executando em um domínio primário, você também pode:
    • Definir o ID do usuário no domínio PRIMARY.
    • Incluir este ID no grupo PRIMARY\Domain mqm.
    • Incluir o grupo PRIMARY\Domain mqm no grupo SALONE\mqm.
  2. Se estiver executando em um domínio confiável, você também pode:
    • Definir o ID do usuário no domínio TRUSTED.
    • Incluir este ID no grupo TRUSTED\Domain mqm.
    • Incluir o grupo TRUSTED\Domain mqm no grupo SALONE\mqm.
  3. Todos os usuários do Message Brokers Toolkit precisam de acesso de leitura ao subdiretório WebSphere MQ java \lib do diretório inicial do WebSphere MQ (o local padrão é X:\Program Files \WebSphere MQ, em que X: é o disco do sistema operacional). Esse acesso é restringido a usuários no grupo local mqm pelo WebSphere MQ. A instalação do WebSphere Message Broker substitui esta restrição e dá acesso de leitura para este subdiretório a todos os usuários.
  4. Se um ID do usuário válido estiver definido no domínio utilizado pelo Configuration Manager (por exemplo, PRIMARY\User4), um usuário idêntico definido em um domínio diferente (por exemplo, DOMAIN2\User4) poderá acessar o Message Brokers Toolkit com as autoridades de PRIMARY\User4.
As seguintes notas gerais também se aplicam:
  1. Assegure-se de que o ID do usuário de serviço tenha o acesso requerido para diretórios pertinentes da árvore de diretórios do produto; por exemplo, acesso de gravação ao diretório de registros. Se você tiver configurado um caminho de trabalho para qualquer componente como um valor não padrão, certifique-se de que o ID do usuário de serviços tenha acesso apropriado a este local.
  2. Se estiver executando um Configuration Manager com um ID do usuário e um intermediário com um ID do usuário diferente em outro computador, é possível consultar uma mensagem de erro ao tentar implementar fluxos de mensagens e conjuntos de mensagens ao intermediário. Para evitar este erro:
    • Certifique-se de que o ID de usuário do intermediário seja um membro dos grupos mqm e mqbrkrs.
    • Defina o ID do usuário para o intermediário no computador em que o Configuration Manager está em execução.
    • Defina o ID do usuário para o Configuration Manager no computador em que o intermediário está em execução.
    • Certifique-se de que todos os IDs do usuário estejam em minúsculas para que sejam compatíveis entre computadores.

Requisitos de Segurança do Intermediário no Windows XP e no Windows Server 2003

NoWindows XP e no Windows Server 2003, o ID do usuário do serviço deve ser membro do grupo mqbrkrs e, opcionalmente, membro do grupo Administrators. Como membro do grupo Administradores, o ID do usuário de serviço tem permissão para acessar as chaves de registro do intermediário de forma que possa acessar informações do intermediário. Se o ID do usuário do serviço não pertencer ao grupo Administradores, você poderá editar o registro do Windows para que o ID do usuário do serviço possa acessar as chaves de registro sem precisar de permissões de Administradores.

As instruções para os dois sistemas operacionais são idênticas, exceto onde indicado.

  1. Clique em Iniciar > Executar, digite regedit e clique em OK. O Editor do Registro se abre.
  2. Navegue para HKEY_LOCAL_MACHINE\SOFTWARE\IBM\WebSphereMQIntegrator na área de janela à esquerda.
  3. Clique com o botão direito do mouse em WebSphereMQIntegrator e selecione Permissões. A janela Permissões para WebSphereMQIntegrator se abre.
  4. Clique em Incluir abaixo da lista de Nomes de grupos ou de usuários. A janela Selecionar Usuários ou Grupos se abre.
  5. Clique em Avançado e, em seguida, em Localizar Agora para listar os usuários e grupos atuais. Na lista, selecione o grupo mqbrkrs para realçá-lo e clique em OK duas vezes.
  6. Clique em Avançado na janela Permissões para WebSphereMQIntegrator para configurar permissões especiais. A janela Configurações Avançadas de Segurança para WebSphereMQIntegrator se abre.
  7. Realce mqbrkrs e clique em Editar. A janela Entrada de Permissão para WebSphereMQIntegrator se abre.
  8. Selecione Configurar Valor, Criar Subchave e Excluir e clique em OK.
  9. No Windows Server 2003, certifique-se de que Permitir Permissões Herdadas esteja selecionado, ou no Windows XP, que Herdar do Pai esteja selecionado e clique em OK.
  10. Clique em OK para fechar as janelas restantes e, em seguida, feche o Editor do Registro.
Conceitos relacionados
Segurança para Recursos de Tempo de Execução: Listas de Controle de Acesso
Tarefas relacionadas
Configurando a Segurança para Componentes de Domínio
Configurando a Segurança no Domínio do Intermediário
Ativando a Segurança Baseada em Tópicos
Referências relacionadas
Comando mqsicreateaclentry
Comando mqsideleteaclentry
Comando mqsilistaclentry
Avisos | Marcas Registradas | Downloads | Biblioteca | Suporte | Feedback

Copyright IBM Corporation 1999, 2009Copyright IBM Corporation 1999, 2009.
Última atualização : 2009-02-13 16:12:58

ap08683_