Windows の場合 および Linux (x86 および x86-64 プラットフォーム) で IBM MQ を構成する権限をユーザーに付与する
IBM® MQ は、通常のユーザー許可およびグループ許可を使用して、 IBM MQ アプリケーションおよび IBM MQ 管理を保護します。
IBM MQ の構成
本タスクについて
IBM MQ のインストールにより、ローカル・グループ mqm
が自動的に作成されます。 mqm
グループに属しているユーザーのみが、キュー・マネージャーの作成、
削除、および変更、キュー・マネージャー・オブジェクトに対する権限の設定、リスナーの実行などのタスクを実行できます。 これらのタスクを実行するために使用されるコマンドについて詳しくは、 IBM 資料の「 制御コマンドを使用した管理 」を参照してください。
Windows では、Windows Administrators
グループのメンバーであるユーザー名もこのようなタスクを実行する権限を持っています。 また、Windows Administrators
グループのメンバーであるユーザーは、
ローカルの Windows オペレーティング・システムの設定を変更することも許可されています。 Windows上の IBM MQ の場合、ユーザー名には最大 20 文字を含めることができます。その他のプラットフォーム上の IBM MQ の場合、ユーザー名に含めることができるのは最大 12 文字のみです。
キュー・マネージャーを管理するユーザー権限を与えるには、次のようにします。
手順
- Windowsの場合は管理者権限、 Linux®の場合は root 権限を持つユーザー名でオペレーティング・システムにログインします。
- ユーザー・ユーザー名を
mqm
グループに追加します。
結果
Windowsでは、 IBM MQ エクスプローラー が開始時に権限を照会するセキュリティー・トークンには、ユーザー名と権限情報が含まれ、 Windowsによってキャッシュされます。 ユーザー名許可に変更を加えた場合、 IBM MQ エクスプローラー の再始動時に変更を有効にするには、そのユーザーはログオフしてから再度ログオンする必要があります。
IBM MQ 操作の実行
本タスクについて
キュー・マネージャーへの接続、キューのオープン、キューの作成などの操作を実行するには、ユーザーに適切な IBM MQ 特権が必要です。 mqm
グループに属しているユーザー、または +chg 権限を付与されているユーザーのみが、キュー・マネージャーの作成、
削除、変更などのタスクを実行できます。 正しい特権を持つユーザーはアプリケーションを実行できますが、
mqm
グループのメンバーではない場合、キュー・マネージャーの作成や削除などを行うことはできません。
独自のネットワーク上で作成および実装する IBM MQ アプリケーションに対して、さまざまなレベルの機能を持つユーザー名許可を作成することができます。これにより、例えば、ユーザー名はキュー・マネージャーに接続してキューにメッセージを書き込んだり取得したりする権限を持つことができますが、そのキューの属性を変更する権限は持ちません。 これを行うには、setmqaut
コマンドを使用します。 詳しくは、オンラインの IBM 資料の setmqaut を参照してください。 ネットワークのグローバル・グループのアプリケーション・メンバーを使用するユーザー名を作成して、アプリケーションが実行されている各コンピューターで、グローバル・グループを mqm
グループのメンバーにすることができます。
setmqaut
コマンドによって IBM MQ 許可に加えられた変更は、即時に有効になります。 ただし、ユーザー名権限の変更は、関連するキュー・マネージャーが停止され、再始動されるまでは有効になりません。
IBM MQ インストール済み環境での Windows サービスの開始
本タスクについて
このサービスは、Windows 起動時に、どのユーザーもまだログオンしていない時点で開始されます。 このサービスを使用して、自動開始オプションによって構成されているすべてのキュー・マネージャーを開始します。 正しい権限でキュー・マネージャーのプロセスが実行されるようにするには、適切なユーザー名でサービスを構成する必要があります。 IBM MQ サービスの構成について詳しくは、 IBM 資料の IBM MQ Windows サービス・ユーザー・アカウントのパスワードの変更 を参照してください。