授權使用者在 Windows 和 Linux 上配置 IBM MQ(x86 和 x86-64 平台)
IBM® MQ 使用一般使用者和群組授權來保護 IBM MQ 應用程式及 IBM MQ 管理。
正在配置 IBM MQ
關於此作業
IBM MQ 安裝會自動建立本端群組 mqm
。 只有屬於 mqm
群組的使用者可以執行建立、刪除及變更佇列管理程式、設定佇列管理程式物件的權限,以及執行接聽器之類的作業。 如需用來執行這些作業之指令的相關資訊,請參閱 使用控制指令管理。
在 Windows 上,作為 Windows Administrators
群組成員的使用者名稱也具有執行這些作業的權限。 身為 Windows Administrators
群組成員的使用者也有權變更本端 Windows 作業系統設定。 對於 Windows 上的 IBM MQ,使用者名稱最多可包含 20 個字元;對於其他平臺上的 IBM MQ,使用者名稱最多只能包含 12 個字元。
若要提供使用者管理佇列管理程式的權限,請執行下列動作:
程序
- 以在 Windows上具有管理者權限或在 Linux®上具有 root 使用者權限的使用者名稱登入作業系統。
- 將使用者使用者名稱新增至
mqm
群組。
結果
在 Windows 上,IBM MQ Explorer 啟動時査詢許可權的安全記號包含使用者名稱和許可權資訊,並由 Windows 快取。 如果對使用者名稱授權進行了變更,則該使用者必須登出,然後重新登入,以便在 IBM MQ Explorer 重新啟動時生效。
執行 IBM MQ 作業
關於此作業
若要執行作業,例如連接至佇列管理程式、開啟佇列或建立佇列,使用者必須具有正確的 IBM MQ 專用權。 只有屬於 mqm
群組、或已被授與佇列管理程式上 +chg 權限的使用者,才可以執行建立、刪除及變更佇列管理程式等作業。 具有正確專用權的使用者可以執行應用程式,但是除非他們也是 mqm
群組的成員,否則不能(舉例來說)建立或刪除佇列管理程式。
您可以針對您在自己的網路上建立及實作的 IBM MQ 應用程式,提供各種層次的使用者名稱授權,以便,例如,使用者名稱可能有權連接至佇列管理程式,並將訊息放置到佇列中,但無權變更該佇列的屬性。 請使用 setmqaut
指令來執行這項作業。 如需相關資訊,請參閱 setmqaut。 您可以讓使用應用程式的使用者名稱成為網路的廣域群組成員,然後在必須執行該應用程式的電腦上,使該廣域群組成為 mqm
群組的成員。
setmqaut
指令對 IBM MQ 授權所做的變更會立即生效。 不過,相關的佇列管理程式必須停止再重新啟動,對使用者名稱權限所做的變更才會生效。
正在啟動 IBM MQ 安裝的 Windows 服務
關於此作業
當 Windows 啟動時,服務會在任何使用者登入之前啟動。 該服務用來啟動任何以「自動啟動」選項配置的佇列管理程式。 為了確定佇列管理程式的處理程序是以正確的權限執行,該服務必須以適當的使用者名稱進行配置。 如需配置 IBM MQ 服務的相關資訊,請參閱 變更 IBM MQ Windows 服務使用者帳戶的密碼。