Autorizace uživatelů pro konfiguraci produktu IBM MQ v systémech Windows a Linux (platformy x86 a x86-64)

V produktu IBM® MQ je pro zabezpečení aplikací IBM MQ a při administraci produktu IBM MQ používána běžná autorizace uživatelů a skupin.

Konfigurace produktu IBM MQ

Informace o této úloze

Při instalaci produktu IBM MQ je automaticky vytvořena lokální skupina mqm. Pouze uživatelé náležející do skupiny mqm mohou provádět úlohy, jako je vytváření, odstraňování nebo úprava správců front, nastavení údajů autorizace pro objekty správce front nebo spouštění modulů listener. Další informace týkající se příkazů, jež se používají k provádění těchto úloh, viz Administrace pomocí řídicích příkazů v Centrum znalostí IBM.

V systému Windows mají oprávnění k provádění těchto úloh rovněž uživatelé, kteří jsou členy skupiny Administrátoři systému Windows. Uživatelé, kteří jsou členy skupiny Windows Administrátoři, mají rovněž oprávnění k úpravě lokálních nastavení operačního systému Windows. Pro produkt IBM MQ v systému Windows mohou jména uživatelů obsahovat nejvýše 20 znaků. Pro produkt IBM MQ na ostatních platformách mohou jména uživatelů obsahovat maximálně 12 znaků.

Postup při udělení uživatelských oprávnění pro administraci správců front:

Postup

  1. Přihlaste se do operačního systému s použitím jména uživatele, který má oprávnění administrátora v systému Windows, nebo oprávnění uživatele root v systému Linux®.
  2. Přidejte jméno daného uživatele do skupiny mqm.

Výsledky

V systému Windows se produkt IBM MQ Explorer dotazuje při spuštění na oprávnění uvedená v tokenu zabezpečení, který obsahuje jméno uživatele a údaje oprávnění a je uložen v mezipaměti systému Windows. Pokud jsou v údajích autorizace pro jméno uživatele provedeny změny, musí tento uživatel provést odhlášení a poté opětné přihlášení, jinak tyto změny po restartování produktu IBM MQ Explorer nenabudou platnost.

Operace produktu IBM MQ

Informace o této úloze

K provádění operací, jako je například připojení ke správci front nebo otevření či vytvoření fronty, musí mít uživatel odpovídající oprávnění produktu IBM MQ. Pouze uživatelé náležející do skupiny mqm a uživatelé, jimž bylo uděleno oprávnění +chg k správci front, mohou provádět úlohy, jako je vytváření, odstraňování a úpravy správců front. Uživatelé s odpovídajícími oprávněními mohou spouštět aplikace, avšak nemohou již například vytvořit nebo odstranit správce front, pokud sami nejsou členy skupiny mqm.

Pro aplikace IBM MQ, které vytváříte a implementujete ve vlastní síti, můžete vytvářet autorizace s různými úrovněmi možností. Uživatel může mít například oprávnění k připojení ke správci front a ke vkládání zpráv do fronty či načítání zpráv z fronty, avšak přitom nemusí mít oprávnění k úpravě atributů dané fronty. K tomuto slouží příkaz setmqaut. Další informace viz setmqaut v online dokumentaci produktu. Uživatele, kteří používají vaše aplikace, můžete zařadit do globální skupiny pro danou síť a poté můžete v každém počítači, v němž mají být dané aplikace spuštěny, tuto globální skupinu zařadit jako člena do skupiny mqm.

Změny autorizací produktu IBM MQ provedené příkazem setmqaut nabudou platnost okamžitě. Oproti tomu změny autorizací pro jména uživatelů nabudou platnost až po ukončení činnosti a opětovném spuštění odpovídajícího správce front.

Spuštění služby systému Windows pro instalaci produktu IBM MQ

Informace o této úloze

Služba se spouští v době spuštění systému Windows před přihlášením uživatelů. Služba se používá ke spuštění správců front nakonfigurovaných s volbou automatického spuštění. Abyste zajistili, že se procesy správce front spouští se správným oprávněním, musí být nakonfigurována služba s příslušným jménem uživatele. Podrobnější informace o konfiguraci služby IBM MQ viz Změna hesla uživatelského účtu služby IBM MQ v systému Windows v Centrum znalostí IBM.