授予用户在 Windows 和 Linux(x86 和 x86-64 平台)上配置 IBM MQ 的权限
IBM® MQ 使用正常的用户权限和组权限来保护 IBM MQ 应用程序和 IBM MQ 管理。
配置 IBM MQ
关于此任务
IBM MQ 安装会自动创建本地组 mqm。只有属于 mqm 组的用户才能执行如下任务:创建、删除和改变队列管理器、设置对队列管理器对象的权限以及运行侦听器。有关用于执行这些任务的命令的更多信息,请参阅 IBM MQ 联网产品文档中的控制命令。 .
在 Windows 上,属于 Windows 管理员组成员的用户名也具有执行这些任务的权限。属于 Windows 管理员组成员的用户也有权更改本地 Windows 操作系统设置。对于 Windows 上的 IBM MQ,用户名最多可包含 20 个字符;对于其他平台上的 IBM MQ,用户名最多只能包含 12 个字符。
要提供用户权限以管理队列管理器:
过程
- 使用在 Windows 上具有管理员权限或在 Linux 上具有 root 用户权限的用户名登录至操作系统。
- 将用户名添加到 mqm 组中。
结果
在 Windows 上,IBM MQ Explorer 启动时用于查询权限的安全性令牌包含由 Windows 高速缓存的用户名和权限信息。 如果更改用户名权限,那么此用户必须注销并再次登录,以便在 IBM MQ Explorer 重新启动时,这些更改可以生效。
执行 IBM MQ 操作
关于此任务
要执行诸如“连接至队列管理器”、“打开队列”或“创建队列”等操作,用户必须具有正确的 IBM MQ 特权。只有属于 mqm 组或在队列管理器上被授予 +chg 许可权的用户才能执行创建、删除和改变队列管理器之类的任务。具有正确特权的用户可运行应用程序,但除非他们也属于 mqm 组,否则不能执行创建或删除队列管理器一类的操作。
您可以对在自己网络上创建和实现的 IBM MQ 应用程序设定不同能力级别的用户名权限,例如,用户名可以有权限连接至队列管理器并在队列中放置和获取消息,但没有权限改变此队列的属性。使用 setmqaut 命令执行此操作。有关更多信息,请参阅 IBM MQ 联机产品文档中的setmqaut。您可使那些使用您的应用程序的用户名成为网络的全局组成员,然后,在必须运行此应用程序的每台计算机上,使全局组成为 mqm 组的成员。
通过 setmqaut 命令对 IBM MQ 权限所做的更改会立即生效。但是,对用户名权限所做的更改在停止并重新启动相关的队列管理器后才会生效。
运行 Postcard 应用程序
关于此任务
要像运行您自己编写的应用程序那样运行 Postcard 应用程序,用户必须具有正确的特权。 否则,用户会接收到来自 IBM MQ API 的错误消息。
为 IBM MQ 安装启动 Windows 服务
关于此任务
此服务在 Windows 启动时且在登录任何用户之前启动。此服务用于启动通过自动启动选项配置的所有队列管理器。为了确保队列管理器进程使用正确权限运行,必须通过相应用户名配置该服务。有关配置 IBM MQ 服务的更多信息,请参阅 IBM MQ 联机产品文档中的更改 IBM MQ Windows 服务用户帐户的密码。