Autorizzazione degli utenti a configurare IBM MQ su Windows e Linux (piattaforme x86 e x86-64)

IBM® MQ utilizza le normali autorizzazioni utente e gruppo per proteggere le applicazioni IBM MQ e l'amministrazione di IBM MQ.

Configurazione di IBM MQ

Informazioni su questa attività

L'installazione di IBM MQ crea automaticamente il gruppo locale mqm. Soltanto gli utenti che appartengono al gruppo mqm possono eseguire attività quali la creazione, l'eliminazione e la modifica dei gestori code, l'impostazione delle autorizzazioni sui gestori code e l'esecuzione dei listener. Per ulteriori informazioni relative ai comandi utilizzati per eseguire queste attività, consultare Amministrazione mediante i comandi di controllo.

Su Windows, i nomi utente che fanno parte del gruppo Windows Administrators dispongono anche dell'autorizzazione all'esecuzione di tali attività. Gli utenti che fanno parte del gruppo Windows Administrators dispongono inoltre dell'autorizzazione a modificare le impostazioni locali del sistema operativo Windows. Per IBM MQ su Windows, i nomi utente possono contenere un massimo di 20 caratteri; per IBM MQ sulle altre piattaforme, i nomi utente possono contenere un massimo di solo 12 caratteri.

Per concedere a un utente l'autorizzazione per gestire i gestori code:

PROCEDURE

  1. Accedere al sistema operativo con un nome utente che disponga dell'autorizzazione di amministratore su Windowso di root su Linux®.
  2. Aggiungere il nome utente degli utenti al gruppo mqm .

Risultati

Su Windows, il token di sicurezza di cui IBM MQ Explorer esegue la query per l'autorizzazione quando viene avviato contiene il nome utente e le informazioni di autorizzazione e viene memorizzato in cache da Windows. Se vengono apportate delle modifiche a un'autorizzazione di nome utente, tale utente deve scollegarsi e ricollegarsi perché le modifiche diventino effettive quando IBM MQ Explorer viene riavviato.

Esecuzione delle operazioni di IBM MQ

Informazioni su questa attività

Per eseguire operazioni quali la connessione a un gestore code, l'apertura di una coda o la creazione di una coda, l'utente deve disporre dei privilegi IBM MQ corretti. Soltanto gli utenti che appartengono al gruppo mqm o a cui è stata concessa l'autorizzazione +chg per il gestore code possono eseguire attività quali creazione, eliminazione e modifica dei gestori code. Un utente che ha privilegi corretti può eseguire le applicazioni, ma non può ad esempio creare o eliminare i gestori code, a meno che essi non facciano parte del gruppo mqm.

È possibile impostare autorizzazioni di nome utente con diversi livelli di capacità per le applicazioni IBM MQ che si creano e implementano sulla propria rete in modo che, ad esempio, un nome utente possa avere l'autorizzazione per connettersi a un gestore code e inserire/recuperare messaggi in/da una coda, ma non disporre dell'autorizzazione per modificare gli attributi di tale coda. Per far ciò, utilizzare il comando setmqaut. Per ulteriori informazioni, vedere setmqaut. È possibile creare i nomi utente che utilizzano i membri dell'applicazione di un gruppo globale della rete e pertanto, su ogni computer su cui va eseguita l'applicazione, rendere il gruppo globale un membro del gruppo mqm.

Le modifiche apportate alle autorizzazioni IBM MQ dal comando setmqaut diventano immediatamente effettive. Tuttavia, le modifiche apportate all'autorizzazione del nome utente non avranno effetto fino a che il relativo gestore code non viene arrestato e quindi riavviato.

Avvio del servizio Windows per un'installazione di IBM MQ

Informazioni su questa attività

Il servizio viene avviato insieme a Windows, prima dell'accesso di qualsiasi utente. Il servizio viene utilizzato per avviare qualsiasi gestore code configurato con l'opzione di avvio automatico. Per accertarsi che i processi del gestore code vengano eseguiti con l'autorizzazione corretta, il servizio deve essere configurato con un nome utente appropriato. Per ulteriori informazioni sulla configurazione del servizio IBM MQ , consultare Modifica della password dell'account utente di servizio IBM MQ Windows.