Autoriser les utilisateurs à configurer IBM MQ sous Windows et Linux (plateformes x86 et x86-64)
IBM® MQ utilise les autorisations de groupe et utilisateur normales pour protéger les applications IBM MQ et l'administration IBM MQ.
Configuration d'IBM MQ
Pourquoi et quand exécuter cette tâche
L'installation d'IBM MQ crée automatiquement le groupe local mqm
. Les utilisateurs appartenant au groupe mqm
sont les seuls à pouvoir effectuer certaines tâches, telles que créer, supprimer ou modifier des gestionnaires de files d'attente, attribuer des autorisations sur des objets gestionnaire de files d'attente ou encore exécuter des programmes d'écoute.
Pour plus d'informations sur les commandes qui sont utilisées pour
effectuer ces tâches, voir Administration à l'aide des commandes de contrôle dans l'IBM Knowledge Center.
Sous Windows, les noms des utilisateurs appartenant au groupe
Windows
Administrateurs
ont également le droit d'effectuer ces tâches. Les utilisateurs qui sont membres du groupe Windows
Administrateurs
peuvent aussi modifier les paramètres locaux du système d'exploitation
Windows. Pour IBM MQ sous
Windows,
les noms d'utilisateur ne peuvent pas comporter plus de 20 caractères ; pour IBM MQ
sur d'autres plateformes, les noms d'utilisateur ne peuvent pas comporter plus de 12 caractères.
Pour attribuer à un utilisateur le droit d'administrer des gestionnaires de files d'attente, procédez comme suit :
Procédure
- Connectez-vous au système d'exploitation avec un nom d'utilisateur disposant des droits d'accès administrateur sous Windows ou root sous Linux®.
- Ajoutez les noms d'utilisateur au groupe
mqm
.
Résultats
Sous Windows, le jeton de sécurité auquel IBM MQ Explorer demande les droits lorsqu'il démarre contient le nom d'utilisateur et les informations sur les droits et est mis en cache par Windows. Si vous modifiez l'autorisation d'un nom d'utilisateur, l'utilisateur doit être déconnecté et reconnecté pour appliquer les modifications lors du redémarrage d'IBM MQ Explorer.
Exécution des opérations IBM MQ
Pourquoi et quand exécuter cette tâche
Pour pouvoir exécuter des opérations, telles que la connexion à un gestionnaire de files d'attente, l'ouverture d'une file d'attente ou la création d'une file d'attente, l'utilisateur doit disposer des privilèges appropriés IBM MQ.
Seuls les utilisateurs appartenant
au groupe mqm
ou ayant les droits +chg
sur le gestionnaire de files d'attente peuvent effectuer des tâches de création, suppression et modification des gestionnaires de files d'attente. Un utilisateur disposant des privilèges adéquats peut exécuter des applications mais ne peut pas, par exemple, créer ou supprimer des gestionnaires de files d'attente, à moins qu'il appartienne également au groupe mqm
.
Vous pouvez créer des autorisations de nom d'utilisateur avec divers niveaux de fonction pour les applications IBM MQ que vous créez et implémentez sur votre réseau, par exemple, pour qu'un nom d'utilisateur soit autorisé à se connecter à un gestionnaire de files d'attente et placer des messages dans une file d'attente et en obtenir de celle-ci, mais pas à modifier les attributs de la file d'attente. Pour ce faire, utilisez la commande setmqaut
.
Pour plus d'informations, voir
setmqaut dans la documentation du produit en ligne.
Vous pouvez intégrer à un groupe global de votre réseau tous les noms d'utilisateurs qui utilisent vos applications, puis intégrer le groupe global au groupe mqm
sur chaque ordinateur sur lequel l'application est exécutée.
Les modifications apportées aux autorisations IBM MQ par la commande setmqaut
sont appliquées immédiatement. Par contre, les modifications apportées aux autorisations attribuées à un nom d'utilisateur ne prennent effet que lorsque le gestionnaire de files d'attente correspondant est arrêté puis redémarré.
Démarrage du service Windows pour une installation d'IBM MQ
Pourquoi et quand exécuter cette tâche
Le service démarre au moment du démarrage de Windows, avant la connexion de tout utilisateur. Il est utilisé pour démarrer les gestionnaires de files d'attente configurés avec l'option de démarrage automatique. Pour garantir que les processus du gestionnaire de files d'attente s'exécutent avec les droits d'accès corrects, le service doit être configuré avec un nom d'utilisateur approprié. Pour plus d'informations sur la configuration du service IBM MQ, voir Changement de mot de passe du compte utilisateur du service Windows IBM MQ dans l'IBM Knowledge Center.