Consideraciones sobre la seguridad en un Gestor de configuración

Inicio del cambioDetermine las características de seguridad y la pertenencia al grupo necesarias para que los ID de usuario realicen tareas asociadas con el Gestor de configuración.Fin del cambio

Inicio del cambioTenga en cuenta las características y la pertenencia al grupo necesarias para que los ID de usuario realicen las funciones siguientes:
  • Ejecutarse como un ID de usuario de servicio (que ejecuta el Gestor de configuración)
  • Procesar los mandatos del Gestor de configuración
  • Acceder a las colas del Gestor de configuración.
Fin del cambio

Se asocia una ACL con el propio Gestor de configuración. Los usuarios o grupos que tienen pertenencia de control total de la ACL del Gestor de configuración tienen implícitamente pertenencia de control total de todas las demás ACL. La pertenencia de control total de la ACL del Gestor de configuración permite a los usuarios o grupos modificar las ACL para cualquier objeto, incluido el Gestor de configuración.

Consulte las secciones adecuadas de esta lista:

  1. Cómo decidir qué cuentas de usuarios pueden procesar mandatos del Gestor de configuración
  2. Cómo decidir qué cuenta de usuario utilizar para el ID de servicio del Gestor de configuración
  3. Configuración de la seguridad en las colas del Gestor de configuración
  4. Ejecución del Gestor de configuración en un entorno de dominio

Cómo decidir qué cuentas de usuarios pueden procesar mandatos del Gestor de configuración

Durante esta tarea se decide qué permisos son necesarios para los ID de usuarios que:
  • Crean, cambian, listan, suprimen, inician y detienen un Gestor de configuración
  • Muestran, recuperan y cambian información de rastreo.

Responda a las siguientes preguntas:

  1. Inicio del cambio¿Está el Gestor de configuración ejecutándose en un sistema operativo Linux o UNIX?
    1. No: vaya a la siguiente pregunta.
    2. Sí: asegúrese de que el ID de usuario está definido en el dominio local y que es miembro del grupo mqbrkrs.

      Vaya a Cómo decidir qué cuenta de usuario utilizar para el ID de servicio del Gestor de configuración

    Fin del cambio
  2. ¿Ejecuta los mandatos Gestor de configuración bajo una cuenta local de Windows?
    1. No: vaya a la siguiente pregunta.
    2. Sí: Suponga que la cuenta local está en un sistema denominado, por ejemplo, WKSTN1. Al crear un Gestor de configuración, asegúrese de que el ID de usuario está definido en el dominio local. Al crear o iniciar un Gestor de configuración, asegúrese de que el ID de usuario sea miembro de WKSTN1\Administradores.

      Vaya a Cómo decidir qué cuenta de usuario utilizar para el ID de servicio del Gestor de configuración

  3. ¿Ejecuta los mandatos Gestor de configuración bajo una cuenta de dominio de Windows?
    1. Sí: Suponga que el sistema denominado WKSTN1, por ejemplo, es miembro de un dominio denominado DOMAIN1. Al crear un Gestor de configuración utilizando, por ejemplo, DOMAIN1\user1, asegúrese de que DOMAIN1\user1 sea miembro de WKSTN1\Administradores.

      Vaya a Cómo decidir qué cuenta de usuario utilizar para el ID de servicio del Gestor de configuración

Cómo decidir qué cuenta de usuario utilizar para el ID de servicio del Gestor de configuración

Inicio del cambioCuando ejecuta el mandato mqsistart> con cualquier ID de usuario que es miembro de los grupos mqm y mqbrkrs, ID de usuario en el que ejecuta el mandato mqsistart e convierte en el ID de usuario en el que se ejecutará el proceso del componente del Gestor de configuración.Fin del cambio

Responda a las siguientes preguntas:

  1. Inicio del cambio¿Está el Gestor de configuración ejecutándose en un sistema operativo Linux o UNIX?
    1. No: vaya a la siguiente pregunta.
    2. Sí: asegúrese de que el ID de usuario está definido en el dominio local y que es miembro del grupo mqbrkrs.

      Vaya a Configuración de la seguridad en las colas del Gestor de configuración.

    Fin del cambio
  2. ¿Desea que el Gestor de configuración se ejecute bajo una cuenta local de Windows?
    1. No: vaya a la siguiente pregunta.
    2. Sí:
      Asegúrese de que el ID de usuario tenga las características siguientes:
      • Está definido en el dominio local
      • Es miembro del grupo mqbrkrs.
      • Es miembro del grupo mqm.
      • Es miembro del grupo Administradores.
      • Inicio del cambioSe le ha otorgado el privilegio Iniciar la sesión como servicio en la ventana Directiva de seguridad local de Windows, a la que se puede acceder seleccionando Panel de control > Rendimiento y mantenimiento > Herramientas administrativas > Directiva de seguridad local.Fin del cambio

      Vaya a Configuración de la seguridad en las colas del Gestor de configuración.

  3. ¿Desea que el Gestor de configuración se ejecute bajo una cuenta de dominio de Windows?
    1. Sí: Suponga que el sistema denominado WKSTN1, por ejemplo, es miembro de un dominio denominado DOMAIN1. Cuando ejecute un Gestor de configuración utilizando, por ejemplo,DOMAIN1\user1, asegúrese de que:
      1. Inicio del cambiouser1 está definido en DOMAIN1Fin del cambio
      2. DOMAIN1\user1 es miembro de DOMAIN1\Dominio mqbrkrs
      3. DOMAIN1\user1 es miembro de WKSTN1\mqm
      4. DOMAIN1\Dominio mqbrkrs es miembro de WKSTN1\mqbrkrs
      5. DOMAIN1\user1 es miembro de WKSTN1\Administradores
      6. Inicio del cambioSe ha otorgado al ID de usuario (user1) el privilegio Iniciar la sesión como servicio en la ventana Directiva de seguridad local de Windows, a la que se puede acceder seleccionando Panel de control > Rendimiento y mantenimiento > Herramientas administrativas > Directiva de seguridad local.Fin del cambio

      Vaya a Configuración de la seguridad en las colas del Gestor de configuración.

Configuración de la seguridad en las colas del Gestor de configuración

Inicio del cambioAl ejecutar el mandato mqsicreateconfigmgr, el grupo mqbrkrs obtiene autorización de acceso para las siguientes colas:
  • SYSTEM.BROKER.CONFIG.QUEUE
  • SYSTEM.BROKER.CONFIG.REPLY
  • SYSTEM.BROKER.ADMIN.REPLY
  • SYSTEM.BROKER.SECURITY.QUEUE
  • SYSTEM.BROKER.MODEL.QUEUE.
Fin del cambio

Inicio del cambioLos intermediarios y los servidores de nombres de usuario se comunican con el Gestor de configuración a través de estas colas. Si se ejecutan en el mismo sistema que el Gestor de configuración, no es necesario que haga nada más para permitir su comunicación. No obstante, si se están ejecutando en un sistema distinto, debe asegurarse de que su ID de servicio existe en el sistema que está ejecutando el Gestor de configuración y, o bien añadir dicha cuenta de usuario al grupo mqbrkrs, o otorgar acceso MQ explícito para colocar mensajes en las colas del Gestor de configuración.Fin del cambio

Los administradores que utilicen los mandatos o el Kit de herramientas deben tener autorización para colocar mensajes en las colas del Gestor de configuración. Puede utilizar el mandato mqsicreateaclentry para crear el acceso necesario a WebSphere MQ.

Ejecución del Gestor de configuración en un entorno de dominio

Avisos | Marcas registradas | Descargas | Biblioteca | Soporte | Su opinión

Copyright IBM Corporation 1999, 2009Copyright IBM Corporation 1999, 2009.
Última actualización : 2009-02-16 13:55:55

ap03984_