授權使用者在 Windows 和 Linux (x86 和 x86-64 平台) 上配置 IBM MQ
IBM® MQ 使用一般使用者和群組授權來保護 IBM MQ 應用程式和 IBM MQ 管理。
配置 IBM MQ
關於此作業
IBM MQ 安裝會自動建立本端群組 mqm
。 只有屬於 mqm
群組的使用者可以執行建立、刪除及變更佇列管理程式、設定佇列管理程式物件的權限,以及執行接聽器之類的作業。 如需用來執行這些作業之指令的相關資訊,請參閱 IBM 說明文件中的 使用控制指令管理 。
在 Windows上,屬於 Windows Administrators
群組成員的使用者名稱也具有執行這些作業的權限。 作為 Windows Administrators
群組成員的使用者也有權變更本端 Windows 作業系統設定。 對於 Windows上的 IBM MQ ,使用者名稱最多可以包含 20 個字元; 對於其他平台上的 IBM MQ ,使用者名稱最多只能包含 12 個字元。
若要提供使用者管理佇列管理程式的權限,請執行下列動作:
程序
- 以在 Windows上具有管理者權限的使用者名稱或在 Linux®上具有 root 使用者權限的使用者名稱登入作業系統。
- 將使用者使用者名稱新增至
mqm
群組。
結果
在 Windows上,「 IBM MQ 探險家 」在啟動時查詢其權限的安全記號包含使用者名稱及權限資訊,並由 Windows快取。 如果對使用者名稱授權進行變更,則該使用者必須登出並重新登入,變更才會在重新啟動「 IBM MQ 探險家 」時生效。
執行 IBM MQ 作業
關於此作業
若要執行連接至佇列管理程式、開啟佇列或建立佇列等作業,使用者必須具有正確的 IBM MQ 專用權。 只有屬於 mqm
群組、或已被授與佇列管理程式上 +chg 權限的使用者,才可以執行建立、刪除及變更佇列管理程式等作業。 具有正確專用權的使用者可以執行應用程式,但是除非他們也是 mqm
群組的成員,否則不能(舉例來說)建立或刪除佇列管理程式。
您可以針對您在自己的網路上建立及實作的 IBM MQ 應用程式,提供使用者名稱具有各種層次功能的權限,例如,使用者名稱可能有權連接至佇列管理程式,並將訊息放置及取得至佇列,但無權變更該佇列的屬性。 請使用 setmqaut
指令來執行這項作業。 如需相關資訊,請參閱線上 IBM 說明文件中的 setmqaut 。 您可以讓使用應用程式的使用者名稱成為網路的廣域群組成員,然後在必須執行該應用程式的電腦上,使該廣域群組成為 mqm
群組的成員。
setmqaut
指令對 IBM MQ 授權所做的變更會立即生效。 不過,相關的佇列管理程式必須停止再重新啟動,對使用者名稱權限所做的變更才會生效。
啟動 IBM MQ 安裝的 Windows 服務
關於此作業
當 Windows 啟動時,服務會在任何使用者登入之前啟動。 該服務用來啟動任何以「自動啟動」選項配置的佇列管理程式。 為了確定佇列管理程式的處理程序是以正確的權限執行,該服務必須以適當的使用者名稱進行配置。 如需配置 IBM MQ 服務的相關資訊,請參閱 變更 IBM MQ Windows 的密碼 服務使用者帳戶 在 IBM Documentation中。