Предоставление пользователям возможности настройки IBM MQ в системах Windows и Linux (платформы x86 и x86-64)

Для защиты приложений IBM® MQ и администрирования IBM MQ в IBM MQ применяются обычные права доступа пользователей и групп.

Настройка IBM MQ

About this task

При установке IBM MQ автоматически создается локальная группа mqm. Такие задачи, как создание, удаление и изменение администраторов очередей, настройка прав доступа к объектам администраторов очередей и запуск обработчиков событий, могут выполняться только пользователями, входящими в состав группы mqm. Дополнительная информация о командах, которые используются для выполнения этих задач, приведена в разделе Администрирование с помощью команд управления в IBM Knowledge Center.

В системе Windows правами на выполнение этих задач также обладают пользователи из группы Администраторы Windows. Кроме того, пользователи из группы Администраторы Windows могут изменять параметры локальной операционной системы Windows. Имена пользователей IBM MQ в Windows могут содержать не более 20 символов; имена пользователей IBM MQ на других платформах могут содержать не более 12 символов.

Для предоставления пользователю прав на администрирование администраторов очередей выполните следующие действия:

Procedure

  1. Войдите в операционную систему от имени пользователя с правами администратора (в Windows) или пользователя root (в Linux®).
  2. Добавьте имя пользователя в группу mqm.

Results

В системе Windows ключ защиты, запрашиваемый программой IBM MQ Explorer для проверки прав доступа при ее запуске, содержит имя пользователя и информацию о правах доступа, и помещается в кэш Windows. При изменении прав пользователя с указанным именем этот пользователь должен выйти из системы и войти в нее повторно, чтобы при перезапуске IBM MQ Explorer эти изменения вступили в силу.

Выполнение операций IBM MQ

About this task

Для выполнения операций, таких как подключение к администратору очередей, открытие очереди или создание очереди, у пользователя должны быть необходимые права доступа IBM MQ. Такие задачи, как создание, удаление и изменение администраторов очередей могут выполнять только пользователи из группы mqm, а также пользователи с правами +chg для администратора очередей. Пользователь с соответствующими правами доступа может запускать приложения, но ему запрещено, например, создавать или удалять администраторы очередей, если он не входит в группу mqm.

Для пользователя с указанным именем можно создать права доступа с разным уровнем возможностей при работе с приложениями IBM MQ, созданными и реализованными в вашей сети, так что, например, этот пользователь сможет подключаться к администратору очередей, помещать сообщения в очередь и получать сообщения из очереди, но у него не будет прав на изменение атрибутов этой очереди. Для этого применяется команда setmqaut. Дополнительная информация приведена в разделе setmqaut в документации по продукту. Имена пользователей, которые работают с вашим приложением, можно включить в глобальную группу вашей сети, а затем на каждом компьютере, где должно выполняться это приложение, включить эту глобальную группу в состав группы mqm.

Изменения, которые вносятся в права доступа IBM MQ с помощью команды setmqaut, вступают в силу немедленно. Однако, изменения, внесенные в права доступа пользователей, вступают в силу только после перезапуска соответствующего администратора очередей.

Запуск службы Windows для экземпляра IBM MQ

About this task

Служба запускается вместе с Windows перед входом пользователей в систему. Эта служба применяется для запуска любых администраторов очередей, для которых настроена опция автоматического запуска. Для того чтобы процессы администраторов очередей запускались с правильными правами доступа, для службы необходимо настроить соответствующее имя пользователя. Дополнительная информация о настройке службы IBM MQ приведена в разделе Изменение пароля служебной учетной записи пользователя IBM MQ Windows в IBM Knowledge Center.