授權使用者在 Windows 及 Linux(x86 及 x86-64 平台)上配置 IBM MQ
IBM® MQ 會使用一般使用者和群組授權來保護 IBM MQ 應用程式及 IBM MQ 管理。
配置 IBM MQ
關於這項作業
IBM MQ 安裝會自動建立本端群組 mqm。只有屬於 mqm 群組的使用者可以執行建立、刪除及變更佇列管理程式、設定佇列管理程式物件的權限,以及執行接聽器之類的作業。如需用來執行這些作業之指令的相關資訊,請參閱 IBM MQ 線上產品說明文件中的控制指令。.
在 Windows 上,屬於 Windows Administrators 群組成員的使用者名稱也有權執行這些作業。屬於 Windows Administrators 群組成員的使用者也有權變更本端 Windows 作業系統設定。若為 Windows 上的 IBM MQ,使用者名稱最多可以包含 20 個字元;若為其他平台上的 IBM MQ,使用者名稱最多只可以包含 12 個字元。
若要提供使用者管理佇列管理程式的權限,請執行下列動作:
程序
- 以具有 Windows 上「管理者」權限或具有 Linux 上 root 權限的使用者名稱登入作業系統。
- 將使用者名稱 users 新增至 mqm 群組。
結果
在 Windows 上,「IBM MQ 探險家」啟動時用來查詢權限的安全記號包含使用者名稱及權限資訊,且由 Windows 快取。如果變更使用者名稱權限,則使用者必須登出再重新登入,變更才會在「IBM MQ 探險家」重新啟動時生效。
執行 IBM MQ 作業
關於這項作業
若要執行連接至佇列管理程式、開啟佇列或建立佇列之類的作業,使用者必須具有正確的 IBM MQ 專用權。只有屬於 mqm 群組、或已被授與佇列管理程式上 +chg 權限的使用者,才可以執行建立、刪除及變更佇列管理程式等作業。具有正確專用權的使用者可以執行應用程式,但是除非他們也是 mqm 群組的成員,否則不能(舉例來說)建立或刪除佇列管理程式。
您可以針對您在專屬網路上建立及實作的 IBM MQ 應用程式,提供使用者名稱具有不同層次功能的權限,舉例來說,可讓使用者名稱有權連接至佇列管理程式,並且可在佇列中放置及取得訊息,但沒有變更該佇列屬性的權限。請使用 setmqaut 指令來執行這項作業。如需相關資訊,請參閱 IBM MQ 線上產品說明文件中的setmqaut。您可以讓使用應用程式的使用者名稱成為網路的廣域群組成員,然後在必須執行該應用程式的電腦上,使該廣域群組成為 mqm 群組的成員。
setmqaut 指令對 IBM MQ 權限所做的變更會立即生效。不過,相關的佇列管理程式必須停止再重新啟動,對使用者名稱權限所做的變更才會生效。
執行明信片應用程式
關於這項作業
若要像使用您自行撰寫的應用程式一樣來執行「明信片」應用程式,使用者必須具備正確的專用權。否則,使用者會從 IBM MQ API 收到錯誤訊息。
為 IBM MQ 安裝啟動 Windows 服務
關於這項作業
當 Windows 啟動時,服務會在任何使用者登入之前啟動。該服務用來啟動任何以「自動啟動」選項配置的佇列管理程式。為了確定佇列管理程式的處理程序是以正確的權限執行,該服務必須以適當的使用者名稱進行配置。如需配置 IBM MQ 服務的詳細資訊,請參閱 IBM MQ 線上產品說明文件中的變更 IBM MQ Windows 服務使用者帳戶的密碼。